Facebook: error expuso información personal de cuentas de Instagram
Un fallo de seguridad en una herramienta empresarial de Facebook habría permitido a administradores de páginas visualizar datos privados de usuarios de Instagram.
Al crear una cuenta nueva en Instagram, el servicio asegura que la dirección de correo electrónico y fecha de nacimiento no serán visibles públicamente. Sin embargo, una vulnerabilidad de seguridad detectada en la plataforma de Facebook dejó expuesta dicha información personal.
El fallo fue descubierto por el investigador de ciberseguridad Saugat Pokharel, un experimentado cazador de errores con sede en Nepal, durante una prueba de Facebook Business Suite, una aplicación que permite administrar páginas (programar publicaciones, enviar mensajes o ver análisis).
Por medio de esta herramienta, disponible para cualquier cuenta comercial de Facebook, los administradores pueden vincular su fanpage con su cuenta de Instagram. De esta forma, tienen la facilidad de realizar diferentes tareas desde un solo lugar.
El problema registrado en la actualización experimental de la suite empresarial de Facebook permitió que, con tan solo el envío de un mensaje directo a los usuarios, los administradores de páginas pudiesen ver sus datos personales (correo electrónico y fecha de cumpleaños).
Esto aún era posible aunque las cuentas de Instagram fueran privadas y estuviesen configuradas para no aceptar mensajes directos del público. Además, los usuarios potencialmente no recibirían ninguna notificación que indicara que su perfil pudo haber sido visto.
El fallo se reportó de inmediato a Facebook y, de acuerdo con Pokharel, los ingenieros de seguridad implementaron una solución en menos de dos horas. La compañía informó que el error solo fue accesible durante un corto período de tiempo y no se encontró evidencia de que haya sido explotado.
“Un investigador informó un problema en el que, si alguien formaba parte de una pequeña prueba que realizamos en octubre para cuentas comerciales, se podría haber revelado información personal de la persona a la que estaban enviando mensajes. Este problema se resolvió rápidamente y no descubrimos ninguna evidencia de abuso. A través de nuestro programa Bug Bounty, recompensamos a este investigador por su ayuda al informarnos sobre este problema”, detalló Facebook en un comunicado.