Facebook confirma un fallo que permitía encontrar números de teléfonos

Suriya Prakash, un investigador de seguridad, reveló hace unos días un fallo que le permitió obtener un gran porcentaje (primero dijo que un 98%, pero más tarde redujo este número a un 83,3%) de teléfonos de los usuarios de Facebook. La red social ha confirmado este fallo, pero asegura que fue corregido en parte.

Todo comenzó cuando Prakash se dio cuenta de que la aplicación de Facebook permitía buscar usuarios si se le daba acceso a la agenda del teléfono, según explicó a TheNextWeb.

Es decir, la aplicación buscaba usuarios con los que no se había establecido una relación de amistad que hubiesen publicado su número de teléfono en la red social. Además, también era posible buscar un usuario simplemente introduciendo un número de teléfono al azar.

Privacidad en Facebook

El problema, como en muchos casos, es que las opciones de privacidad de Facebook son confusas, por lo que la mayoría de los usuarios (el 83,3% de los que acceden desde el móvil, si las estimaciones del investigador son correctas) no oculta este dato.

Así, fue fácil crear un código que automatizaba la tarea de probar números de teléfono al azar. Cuando encontraba uno, aparecía junto al nombre de su dueño.

Dada la magnitud del descubrimiento, Prakash contactó con Facebook. No obstante, la compañía le restó importancia, ya que consideraba que los usuarios que no habían ocultado su número de teléfono lo hacían porque querían que pudiese ser encontrado.

Además, la plataforma limita el número de veces que se pueden realizar búsquedas, precisamente para evitar este tipo de ataques. Sin embargo, esto no ocurre en la versión móvil del sitio, al menos, según el investigador (que mantiene que en cuatro días no se limitó la opción de buscar en ningún momento), ya que la compañía asegura que también existe una limitación en ella.

Al no conseguir una solución por parte de la red social, Prakash publicó algunos de los números obtenidos (a excepción de tres dígitos aleatorios, por privacidad) para alertar del peligro.

Finalmente, la compañía confirmó a través de un portavoz a TheNextWeb que, aunque ya había un sistema que limitaba la cantidad de búsquedas que se podían realizar, éste fue mejorado. Sin embargo, también recordó que la posibilidad de encontrar usuarios por su número de teléfono no es un fallo, sino una función que está activada por defecto y puede ser cambiada.

Para hacerlo, sólo hay que acceder a Configuración de la privacidad y hacer clic en Cómo conectas, lo que hará que aparezca una nueva ventana en la que se puede seleccionar quién puede buscar la cuenta con la información de contacto proporcionada.