Ciertos agujeros de seguridad se descubren por casualidad, sin necesidad de intentar buscarlos. Es lo que sucede con el último fallo, que está relacionado con el buscador móvil de Facebook. Basta con introducir un número de móvil en el buscador para abrir una puerta a todos los datos personales del usuario. Eso incluye nombre, número de teléfono, localización, imágenes y otros datos. El fallo de seguridad ha sido encontrado por Reza Moaiandin, Director técnico de la empresa de tecnología Salt. A finales del mes de abril, Moaiandin alertaba a Facebook sobre el agujero de seguridad y volvía a insistir en el asunto el pasado 28 de julio. Facebook reúne 1.490 miles millones de usuarios activos al mes, y la inmensa mayoría (1.131 miles de millones) accede a la red social al través del móvil. Eso da una idea del gran riesgo potencial que presenta el agujero de seguridad recién descubierto.
Cualquier hacker puede programar un script que genere búsquedas de números de móvil automatizadas a gran escala. El agujero de seguridad, según Moaiandin, permite que los hackers puedan descifrar el identificador de Facebook usando unas API (interfaz de programación) de esa red social. Usando un script, el hacker se puede comunicar con el sistema para conseguir el máximo de información disponible. Basta con solo script por país que sirva para probar combinaciones de números de móvil a través del buscador móvil de Facebook, para comprobar si un número está asociado a una cuenta de Facebook. A partir de ahí, relacionarlo con el nombre del miembro de la red social y con el resto de detalles es muy fácil.
Reza Moaiandin ha verificado la existencia del agujero mediante scripts diseñados para tres países: Estados Unidos, Canadá y Reino Unido. Este problema de seguridad representa un grave riesgo de phishing, que puede ser libremente explotado por cualquier ciberdelincuente si Facebook no lo impide. La solución que el técnico recomienda a Facebook es cifrar previamente la comunicación con esas API, entre otras medidas. Según Moaiandin, la compañía todavía no ha parcheado ese agujero de seguridad en el buscador móvil. En la segunda respuesta que recibía de Facebook, el pasado 28 de julio, la red social le daba las gracias por escribir y decía que no lo consideraban una vulnerabilidad de seguridad, pero que podrán controles para monitorizar y mitigar los abusos.
Un portavoz de Facebook acaba de enviar una explicación a V3, en la que insiste que la compañía tiene sus propias herramientas de monitorización de red que son líderes en la industria y que están constantemente funcionando para asegurar los datos. Además, añade que tienen reglas estrictas que determinan cómo los desarrolladores pueden usar sus API para crear sus productos; los desarrolladores sólo pueden acceder a la información que los usuarios han elegido hacer pública. Todos los usuarios de Facebook pueden controlar la información que comparten, incluyendo su perfil, según la compañía.