El martes 10 de mayo, Symantec sostuvo en su blog que un problema “accidental” permitió que empresas de publicidad accedan a información personal de los usuarios, como perfiles, fotos, registros de chat y la posibilidad de postear mensajes en los muros de Facebook sin autorización.
“Por fortuna, estas terceras partes pueden no haber descubierto que tenían la habilidad de acceder a esta información”, agregó la compañía, que informó a Facebook sobre el problema la segunda semana de abril.
Como respuesta, Facebook aseguró que ya resolvió el asunto, no sin antes asegurar que han llevado a cabo “una investigación exhaustiva que no ha revelado ninguna prueba de que este problema haya resultado en que la información privada del usuario haya sido compartida con terceros no autorizados”.
La empresa de seguridad señala que esta posible vulnerabilidad estaba presente en una 100 mil aplicaciones en la red social.
ACCESO POR LLAVES
Toda aplicación de Facebook solicita una “llave de acceso” que le otorga un usuario cuando instala una aplicación y le da permisos para acceder a su información personal y publicar en su muro. “Cada llave está asociada con un grupo de permisos, como leer tu muro, acceder a los perfiles de amigos, postear en tu muro, etc.”, explica Symantec.
Estas llaves tienen la forma de una clave a la cual se podía acceder tras descifrar una falla en los códigos API que la incluían en las direcciones URL que estaban a la mano de toda empresa que tuviera acceso a estos permisos.
Facebook anunció que ya solucionó esta falla, pero Symatec informa que las llaves todavía pueden estar activas y que seguirán funcionando hasta que el usuario de Facebook cambie su contraseña. La recomendación de la empresa de seguridad es que los usuarios que suelen instalar muchas aplicaciones en su perfil cambien su contraseña como prevención.