Ya se ha hablado en este blog sober cómo se pueden utilizar los "leaks" de información en Facebook en otras ocasiones para sacar información. Uno de los más antiguos es - o mejor dicho era - que un usuario cualquiera pudiera conocer el nombre de un usuario y visualizar su imagen, por ejemplo, conociendo su número de teléfono, siempre y cuando éste número esté asociado a ese usuario.
Incluso, existen proyectos en Github que permiten obtener, dada una dirección de e-mail o un número de teléfono, la información sobre el nombre del usuario, generalmente su nombre de persona, y parte de su número de teléfono, así como su fotografía.
Claramente es una técnica de OSINT que investigadores y analistas pueden utilizar en función de las necesidades que tengan. Este truco no es nuevo, como ya hemos podido ver tiene varios años, pero recientemente nos hemos dado cuenta de un movimiento de Facebook y es que ellos almacenan desde dónde haces login, por lo que, si la red desde la que se hace uso de este truco nunca fue utilizada por el usuario legítimo para iniciar sesión, Facebook no proporcionará la información del usuario, ni el teléfono.
¿Cómo funciona esto?
Repasando brevemente el truco, cuando un usuario se dirige a Facebook y pulsa sobre “¿Has olvidado los datos de la cuenta?”, Facebook le pregunta por el e-mail o el número de teléfono. Si se le indican estos datos, Facebook devolvía la imagen del usuario y el nombre de la persona a la que pertenece la cuenta.
Lo curioso es que cuando uno pulsa sobre recuperar la contraseña e introduce un número de teléfono asociado a una cuenta, yo probé con la mía, Facebook proporciona un mensaje indicando:
Se puede ver en la imagen como en vez de proporcionar el nombre del usuario, se proporciona el número del teléfono directamente. La imagen pasa a ser el típico avatar de cuando no se tiene acceso a la imagen o no se tiene configurada una imagen.
Parece que Facebook ha hecho un poco más restrictivo el asunto de mostrar la imagen y el nombre de la persona, sabiendo el e-mail o el número de teléfono, intentando minimizar el impacto que puedan tener empresas del tipo "Cambridge Analytica" que busquen fugas de información en servicios de login o recuperación de contraseñas como explicaba ayer Chema Alonso.
Pero, ¿qué ocurre una red empresarial? Si esto se prueba en una red de una empresa muchos de sus empleados, seguramente, hayan utilizado Facebook por lo que son susceptibles de poder identificar por otros empleados. Así como, identificar quién ha utilizado Facebook en la empresa. Eso sí, el impacto se reduce muchísimo. Este es uno de esos tricks que no deja indiferente a nadie y que Facebook ha “restringido” un poco, algo que nos parece muy conveniente en el mundo en que nos movemos.
Figura 1: Facebook ya no dejar ver tu foto y tu nombre si no hiciste login antes desde esa ubicación para evitar más casos de "Cambridge Analytica" |
Incluso, existen proyectos en Github que permiten obtener, dada una dirección de e-mail o un número de teléfono, la información sobre el nombre del usuario, generalmente su nombre de persona, y parte de su número de teléfono, así como su fotografía.
Figura 2: Facebook reset OSINT tool |
Claramente es una técnica de OSINT que investigadores y analistas pueden utilizar en función de las necesidades que tengan. Este truco no es nuevo, como ya hemos podido ver tiene varios años, pero recientemente nos hemos dado cuenta de un movimiento de Facebook y es que ellos almacenan desde dónde haces login, por lo que, si la red desde la que se hace uso de este truco nunca fue utilizada por el usuario legítimo para iniciar sesión, Facebook no proporcionará la información del usuario, ni el teléfono.
¿Cómo funciona esto?
Repasando brevemente el truco, cuando un usuario se dirige a Facebook y pulsa sobre “¿Has olvidado los datos de la cuenta?”, Facebook le pregunta por el e-mail o el número de teléfono. Si se le indican estos datos, Facebook devolvía la imagen del usuario y el nombre de la persona a la que pertenece la cuenta.
Figura 3: Antes Facebook mostraba siempre el nombre y la foto |
Lo curioso es que cuando uno pulsa sobre recuperar la contraseña e introduce un número de teléfono asociado a una cuenta, yo probé con la mía, Facebook proporciona un mensaje indicando:
“Puedes ver tu nombre y foto del perfil porque estás usando una red informática desde la que ya habías entrado antes.”Esto me hizo comprobar si esto es cierto. Utilizando mí mismo número en otra red, la cual antes no había utilizado para iniciar sesión en Facebook, me di cuenta de que no obtenía mi nombre, ni la imagen de mi usuario en mi cuenta. Además, no aparece ningún mensaje que indique nada de las redes informáticas, como dicen ellos.
Figura 4: Facebook deja ver la info porque ya me había conectado desde esa ubicación |
Se puede ver en la imagen como en vez de proporcionar el nombre del usuario, se proporciona el número del teléfono directamente. La imagen pasa a ser el típico avatar de cuando no se tiene acceso a la imagen o no se tiene configurada una imagen.
Figura 5: Si no es una ubicación conocida no deja ver la foto ni el nombre |
Parece que Facebook ha hecho un poco más restrictivo el asunto de mostrar la imagen y el nombre de la persona, sabiendo el e-mail o el número de teléfono, intentando minimizar el impacto que puedan tener empresas del tipo "Cambridge Analytica" que busquen fugas de información en servicios de login o recuperación de contraseñas como explicaba ayer Chema Alonso.
Figura 6: Hay que evitar fugas en creación de cuentas o recuperación de passwords |
Pero, ¿qué ocurre una red empresarial? Si esto se prueba en una red de una empresa muchos de sus empleados, seguramente, hayan utilizado Facebook por lo que son susceptibles de poder identificar por otros empleados. Así como, identificar quién ha utilizado Facebook en la empresa. Eso sí, el impacto se reduce muchísimo. Este es uno de esos tricks que no deja indiferente a nadie y que Facebook ha “restringido” un poco, algo que nos parece muy conveniente en el mundo en que nos movemos.
Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advance Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root" y “Pentesting con Powershell”, Microsoft MVP en Seguridad y Security Researcher en ElevenPaths
No hay comentarios:
Publicar un comentario