A veces los buscadores dan acceso a datos que, teóricamente, están protegidos. Es lo que ha sucedido recientemente con más un millón de cuentas de Facebook. Un fallo en el sistema de esa red social lo ha hecho posible. Basta con realizar una búsqueda en Google para obtener entre los resultados enlaces a 1,32 millones de cuentas de Facebook, tal y como explicaba un mensaje publicado en la página web de Hacker News el pasado viernes. En algunos casos, bastaba con hacer clic sobre uno de esos enlaces para tener pleno acceso a la cuenta en la red social, sin necesidad de contraseña. Además, todos los enlaces dejaban expuestas las direcciones de correo electrónico de esos usuarios de Facebook.
La única ventaja es que sólo se podía hacer clic una vez en cada enlace; luego quedaba inservible. El origen del problema está en un atajo de Facebook que permite a los miembros de la red social regresar rápidamente a sus cuentas. La compañía ha desactivado temporalmente ese sistema, hasta que aseguren las cuentas públicamente visibles. También el equipo está comprobando las cuentas de cualquier persona que haya entrado recientemente a través de esa atajo. La mayoría de los usuarios afectados están en Rusia y China.
Un ingeniero de seguridad de Facebook, llamado Matt Jones, ha publicado un comentario sobre este incidente en Hacker News. Este ingeniero destaca que esos mensajes con enlaces eran enviados directamente al buzón de e-mail de cada usuario para ayudarles a entrar más fácilmente en sus cuentas, pero que nunca los han publicado ni puesto al alcance de los buscadores de Internet. La idea es que el usuario puede entrar en su cuenta de Facebook haciendo clic en un enlaces recibido por correo electrónico, en lugar de tener que ir al sitio de la red social e introducir el e-mail o el número de teléfono y la contraseña.
Jones ha reconocido que, para que un motor de búsqueda pueda tener acceso a esos enlaces, es necesario que el contenido de los mensajes de e-mail saliera publicado en algún sitio de Internet. Por eso, la hipótesis que se baraja es que esos enlaces proceden de sitios donde se recoge los mensajes tirados a la papelera o servicios de archivo de mensajes con una protección de seguridad deficiente. Por su parte, un portavoz de Facebook, Frederic Wolens, ha declarado recientemente al New York Times que no puede explicar por qué alguien querría publicar esos enlaces. Al fin y al cabo, esos enlaces dan acceso a un extraño a páginas de Facebook, además de exponer las direcciones de correo electrónico. Asimismo, Wolens trata de echar la culpa a los propios usuarios diciendo que algunos pueden haber publicado esos enlaces en la web, permitiendo que cualquiera pudiera buscarlos.
Expertos en seguridad de TrendMicro consideran peligrosos estos atajos de direcciones web, porque terminan circulando por Internet. Una vez en el ciberespacio, quedan al alcance de hackers y de motores de búsqueda.
