Vulnerabilidad

El leonés Alfredo Arias, conocido en el mundo virtual como Minipunk o El Internauta de León, ha descubierto un fallo de seguridad en Facebook que permite enviar mensajes privados suplantando la identidad de cualquier usuario.

Según ha explicado, el procedimiento para lograrlo es bastante sencillo y consiste en manipular un formulario web, con remitente, destinatario y mensaje. Para ello, se busca en los datos del perfil una dirección de correo electrónico vinculada a Facebook, se elige el nombre del usuario que recibirá el mensaje y se rellena el formulario.

La información enviada, ha apuntado, no se identifica como un correo electrónico y aparecerá como un mensaje privado de uno de tus contactos. En una de sus pruebas, enviadas a su propia cuenta de Facebook para denunciar la vulnerabilidad y que están publicadas en su blog se hace pasar, entre otros, por el secretario general autonómico del PSOE de Castilla y León, el senador Óscar López, con el texto:

Puedo pedirte el voto para un partido. Puedo promover la venta de un producto. Puedo fingir que tu pareja es infiel. Siendo quien soy es fácil que me creas

Leer más

En poco más de una semana la red social Twitter ha dejado dos muestras bien notorias de su vulnerabilidad. Ayer tuvo lugar una nueva invasión de mensajes, en esta ocasión sobre zoofilia sin el permiso de los usuarios. No obtuvo tanto revuelo como el de hace unos días, puesto que se pudo solventar en menos de una hora, pero vuelve a dejar muestras de que el servicio no opera con normalidad y, especialmente, con la seguridad que debería disponer.

Según parece, la causa de esta vulnerabilidad puede encontrarse en los cambios que se están llevando a cabo para su rediseño y tiene que ver con los enlaces acortados. Parece que son la fuente más habitual de problemas de seguridad y desde Twitter apuntan que pronto sólo aceptarán los acortados por su servicio oficial (del tipo t.co).

Vía | TechCrunch
Foto | Nathan Jongewaard

El portal de consulta de la Renta Básica de Emancipación del Ministerio de Vivienda ha sido desactivado al poder accederse a los datos de quienes han solicitado la “Renta Básica de Emancipación”. Según El Mundo la grave vulneralidad fue descubierta por un experto en diseño-web y comunicada directamente al Ministerio.

Los solicitantes de las ayudas para el alquiler del ministerio podían acceder a sus datos personales y ver la evolución de sus peticiones. Pero de una manera muy sencilla, se podía cambiar algunos identificadores en el código fuente del sitio y de esta manera al consultar los detalles de esta nueva consulta, se podía acceder sin problemas al nombre, apellidos, DNI, domicilio completo, estado, pagos pendientes en su alquiler de vivienda o información fiscal comprometida.

Leer más