Hace unos momentos me entero via minipunk de una vulnerabilidad de seguridad por parte de facebook, ya que se podrían enviar mensajes en facebook como si fueras otro usuario aprovechando los mails…
Basicamente lo que se necesita es el mail de facebook de la persona a la que quieras enviar el mensaje, que suele ser (nombredeusuario@facebook.com) y por otra parte se necesita el mail asociado a la cuenta de facebook del usuario (mailquesea@gmail.com) por el que te quieres hacer pasar. Este segundo dato solo se podría saber si el usuario tiene el mail visible al público, y se saca a traves del enlace de información del perfil del usuario, y una vez dentro de información, abajo del todo, en direccion de correo electronico (ojo que no es tipo usuario@facebook.com) 
Al final se consigue un mensaje en la cuenta del usuario que la quieras enviar, como si fuera cualquier usuario de facebook (siempre que tenga el mail abierto al público)
Por ejemplo, este es un mensaje que me mande a mi mismo como si fuera Yoriento:
Como veis el mensaje es igual en apariencia, pero en la parte superior derecha muestra una pequeña señal de aviso de que ese mensaje no se puede confirmar que sea de ese usuario, pero es inapreciable. Por ejemplo desde facebook movil, ese aviso ni aparece.
Como último, aquí os dejo un formulario para que podáis hacer la prueba y enviar mensajes en facebook como si fuerais otro usuario. No seais malos que sino lo cierro.
[Formulario cerrado]
En definitiva un grave fallo de seguridad, descubierto por minipunk, y que podría jugar malas pasadas a muchos usuarios. Por lo pronto, iría a configuración y pondría mi dirección de mail como no visible para que no pasen estas cosas…
Mi nombre es Iván García Estébanez, vivo en Asturias, soy emprendedor y me dedico al marketing online, pero sobre todo soy un soñador.
Si quieres puedes ponerte en 
Un fallo que detecté esta semana fue que ingresé al chat del face desde el movil y cuando cerré sesión, todos los contactos que estaban conectados en ese momento se eliminaron de mis amigos.
Por un momento pensé que habían hackeado mi cuenta, luego comprendí que fue un error del mismo face, el cual tiene en su sistema muchos errores.
Gracias de nuevo por compartir tus descubrimientos.
Un saludo.
Y si el nombre de usuario del destinatario es compuesto? por ejemplo Daniel Torrejón. tendría que escribir danieltorrejon@facebook.com? o lo separo con una barra baja. La tilde no cuenta tampoco no?
De hecho me acabo de dar cuenta que yo no tengo “Nombre de usuario”, solo tengo”Nombre”. Eso significa que a mi misma no podria mandarme mensajes de esta forma?
De hecho ni es necesario saber el correo de facebook ya que al entrar al perfil de cada usuario viene el numero ID a este numero le agregas la arroba y listo. ejemplo: ID@facebook.com
Hola
Lo he probado con el id y no funciona, parece que solo funciona con el nombre de usuario del tipo usuario@facebook.com
La cosa es que varios días después del descubrimiento del fallo y aún no lo han arreglado…
Un saludo y gracias por compartir.
Hola, gracías a todos por los comentarios, y perdon por tardar en enviarlos.
Este formulario no es nada especial, y lo podría hacer cualquiera, o incluso desde muchas páginas web que tienen la tipica pestaña de “enviar a un amigo” se puede hacer.
A veces no funciona, ya que si hay muchos usuarios enviando mensajes a la vez desde la misma ip (este formulario), facebook bloquea alguno de los mensajes.
El bug sigue sin solucionarse, y aún se pueden enviar mensaje como si fueras otro usuario.
Hola Iván
Agradeciendo vuestra información acerca de la vulnerabilidad, ojalá pronto la compañia pueda solucionarlo.
Saludos,
El otro usuario, puede ver que te mando ese mensaje?
No, no puede.
Pues yo todavía no he conseguido hacer que funcione, ni con id ni con nada
podrias dar el código fuente? ya que veo que el POST va a esta misma pagina.
Funcionò es cierto!!!
Sucede igual que cuando desde Outlook por ejemplo, envias un mail usando la opcion “en nombre de”, ciertos servidores de correo, especialmente webmails, y servicios de correo web, no detectan quien lo envia sino que muestran en nombre de quien se envía.
no se si ya lo resolvieron o no, pero no me funciona. he probado tanto con la ID como el nombre de usuario y nada no me funciona
Hola, no he logrado que funcione, alguien me puede decir cómo sé cuál es mi ID o cómo se cuál es el de las demás personas para probar?
Muchas gracias.
Lo he probado varias veces desde este mismo formulario, enviandome mensajes de prueba a mi misma y no me funciona.
El formulario hay que descargarlo desde algún sitio determinado o vale este mismo.
Por favor, una explicación para principiantes.
Gracias
el correo lo envia a facebook en nombre de la cuenta de correo que se indica como remitente? como si fuera un correo real desde esa cuenta?
Este dato es importante ya que marca la diferencia entre un problema de seguridad de tu servidor de correo, el de facebook o un problema de diseño del sistema de envio de mensajes desde e-mail por parte de facebook
Que servidor de correo estas usando?
amigos hay que activar la opcion de activar el correo es decir nombre usuario@facebook.com
i think this is not a bug or exploit in facebook.
you can mail to anyone all over the world with different adresses.
for example you can mail to;
billgates@microsoft.com
by using
from: stevejobs@apple.com
so you can mail to xyz@facebook.com by using yzx@facebook.com too.
the person who got the mail or server, must check the return path of the mail.
Lo que esta claro es que si usas un servidor de correo que no precisa autenticacion puedes enviar correos con cualquier nombre de dominio y usuario, aunque eso no te garantiza que el correo llegue a su destino, todo esto depende de si el servidor de destino hace una comprobacion del MX. Si coincide la ip del remitente con la que tiene el DNS al consultar la reversa por parte del destinatario el correo se entrega, si no es asi es descartado.
Como esto es un jaleo se suelen usar blacklist para filtrar ciertas IPs que usan servidores de correo poco seguros.
muy bueno, pero solo funciona si la persona tiene activado el mail de facebook…
Y cuando la persona (victima) recibe el mensaje y lo contesta la respuesta es enviada a el perfil del cual fue enviado?
podrias incluir en el header del correo la IP de quien envia el mensaje para hacerle ‘ingenieria reversa’?? hay forma de saber quien es el anonimo que publica el mensaje??
[...] otro día os informaba de un bug de facebook con el que se podían enviar mensajes haciendote pasar por otro usuario, ahora parece, que muchos usuarios se han dado cuenta de que facebook oculta una buena cantidad de [...]
Me interesaria saber si es que existe la forma de descubrir quien ha enviado un mensaje en nombre de mi cuenta de facebook , ya que alguien lo ha hecho y me interesaria saber quien es.
Me interesaria saber si es que existe la forma de descubrir quien ha enviado un mensaje en nombre de mi cuenta de facebook , ya que alguien lo ha hecho y me interesaria saber quien es.
hola quiero que sepas, que a mi me pareces muy lindo, no ruegues mas que cualquier mujer querria estar a tu lado. un beso
mira esque ultimamente he tenido un error en mi chat salen cosas como si yo las huviera escrito, cuando en realidad no lo hice porque no estaba conectada… estoy desesperada porque ya he cambiado la contraseña 2 vecez y estoy segura que yo no he escrito esas cosas tan feas ayudame estoy segura que no esque que me lo hackiaron por que me deja entrar perfectamente
ola ivan necesito que me hagas un favor tio , el caso es que la xica que me gusta que aun no le eh dixo nada en fin ella ha bloqueado la opcion de recibir invitaciones para agregar y para recibir mensajes del resto de las personas que no tiene agregadas solo puede recibir de mensajes de quienes tenga ella agregada y bueno ivan como veras tiene bloqueadas ambas opciones y quiero comunicarme con ella y necesito escribirle urgentemente a ella yy boee no sabes que se podria hacer?¿ algun truco o algo para que le llegue un mensaje mio y justamente ella me dio su facebook pero hace tiempo que no le escribia y recien encuentro el face que me lo habia escrito en un papel y por eso recien la busque y ella tiene blokeada esas opciones y ahora como hago? ayudame ivan tio! pff! de verdad quiero comunicarme con ella =(
Yo quiero registrar en Facebook pero mi primo utilizo su Facebook. Y yo llano puedo crear una cuenta de Facebook. En mi tableta