Con el final del año
2015, en
Facebook se añadió una vez más una opción de viralización de contenido. En este caso la opción de
Recuerdos del 2015, disponible dentro de
Year in Review. En ella, al igual que cuando se ha hecho en el pasado un vídeo con los mejores momentos del año, o con tu historia en
Facebook, se seleccionan una serie de fotos con sus comentarios y actividad social para repasar lo más importante del año. En teoría, estos recuerdos solo se pueden poner con información de tu muro, pero la realidad es que se pueden "
robar" momentos y compartir en tu
Year in Review los momentos de otra persona.
 |
| Figura 1: Cómo "robarle" los recuerdos a Mark Zuckerberg en Facebook |
Al final no sería más que como compartir el
post de alguien en tu muro, pero en este caso metiendo las fotos de otros, y sus comentarios dentro de la revisión de tu año. El proceso es sencillo y permite que todos los comentarios y
likes que hayan tenido los fotos, vengan con ellas. Estos son los pasos.
Paso 1: Ingresamos a los
Recuerdos de Facebook
 |
| Figura 2: Creación de tu Year in Review con tus fotos |
Paso 2: En este paso lo que haremos es verificar las imágenes que tenemos en nuestros recuerdos, en mi caso sólo aparecen cuatro, ya que pues no tuve un año muy movido, podemos verificar todas nuestras fotos dando clic en el botón
Editar, hay podemos seleccionar que fotos nuestras queremos que aparezcan.
 |
| Figura 3: Selección de fotografías para tu Year in Review |
Paso 3: Vamos a desmarcar todas nuestras fotos, dejando solo una foto publicada, y vamos a compartir así nuestro año
2015.
 |
| Figura 4: Creación del Year in Review |
Paso 4: Acá esta el truco, nos vamos a las imágenes que deseemos o los recuerdos de algún personaje, en este caso el mismo creador de
Facebook Mark Zuckerberg, y con la opción que nos permite nuestro navegador, inspeccionamos el código fuente y copiamos algún enlace del album.
 |
| Figura 5: Selección de enlaces en el album de recuerdos de Mark Zuckerberg |
Paso 5: Con la ayuda de
Graph API Explorer, una herramienta en
Facebook for developer, que usaremos para extraer de manera rápida todos los
ID_photos, de la cuenta de
Mark Zuckerberg.
 |
| Figura 6: Selección de IDs de fotografías en el album de recuerdos de Mark Zuckerberg |
Paso 6: Ya teniendo listado todos los
ID_photos, nos dirigimos a nuestros recuerdos, y seleccionamos solo
las fotos que
Mark igualmente ha seleccionado en sus recuerdos, con los respectivos
ID .
Recuerdos de Mark Zuckerberg.
 |
| Figura 7: Nuestro album de recuerdos antes de hacer nada |
Paso 7: Ahora nuevamente con la ayuda del navegador inspeccionaremos esta vez, el botón
Compartir, y
editamos el botón con los
ID_photos que el mismo
Mark Zuckerberg ha seleccionado para sus recuerdos.
 |
| Figura 8: Album de recuerdos de Mark Zuckerberg |
Paso 8: Al ya tener modificado el botón, procederemos a compartir nuevamente nuestros recuerdos, dando a si por resultado, el cambio total de mis recuerdos por los de otra persona, trayendo consigo cualquier
like comentario de dicha foto.
 |
| Figura 9: Sustituimos IDs de fotos y volvemos a compartir el álbum de fotos |
Una vez que se ha vuelto a compartir el album, los recuerdos de Mark Zuckerberg aparecen dentro de nuestro album de recuerdos.
 |
| Figura 10: Album de recuerdos con recuerdos de Mark Zuckerberg inyectados |
Paso 9: Una de las ultimas cosas que nos quedan es comparar.
 |
| Figura 11: Comparación de recuerdos del año |
Paso 10: Comprobando las imágenes, abriéndolas desde mis recuerdos y ver como así nos hemos traído los recuerdos de
Mark Zuckerberg como los
likes o comentarios a nuestros recuerdos de
Facebook.
 |
| Figura 12: Viene toda la información asociada a la fotografía en el album de recuerdos |
Esta pequeña demostración no es considerada por
Facebook como un fallo de seguridad, ya que la privacidad de la fotografía queda tal y como la comparta el dueño de la misma.
 |
| Figura 13: Respuesta del equipo de seguridad cuando se les reportó esta "característica" |
Aún así, los responsables de
Facebook respondieron cuando se les notificó con que era una característica de este producto el que se pudieran añadir fotos de otros, pero lo cierto es que no se valida que en tu
Year in Review se añadan fotos de otros cuando re-compartes, algo que cuando creas el album inicial no se permite.
Autor: Androw Mauricio
Facebook: https://www.fb.com/XxAnDrOwxX
PD: Esto solo es una PoC, así que en lugar de robarle los recuerdos a nadie - que es bastante triste - vive y ten los tuyos propios.
Sigue El lado del mal en Telegram
Chema Alonso en Threads
Chema Alonso en Mastodon
Chema Alonso en BSKY
Chema Alonso en Linkedin
DragonJAR
8.8 Chile
Ekoparty
e-Hack MX 
AREA 51 
Comunidad Dojo Panamá 
ARPAHE SOLUTIONS 
4 comentarios:
Sencillo y curioso, saludos maligno.
No es un fallo de seguridad, las fotos que llevas a tu perfil son públicas. Lo mismo si las compartes, o bien las descargas manualmente y las subes a tu perfil.
Si es un fallo pues dicha persona puede tener restringida la privacidad de su cuenta de forma que no deverias poder ver nada que la persona no quiera que veas
Interesante cuanto menos, saludos!
Publicar un comentario