Presiona ENTER para ver los resultados o ESC para cancelar.

Informacion de Enviar mensajes de facebook como si fueras otro usuario (fallo de seguridad)

Enviar mensajes de facebook como si fueras otro usuario (fallo de seguridad)

seguridad mensajes facebook Hace unos momentos me entero via minipunk de una vulnerabilidad de seguridad por parte de facebook, ya que se podrían enviar mensajes en facebook como si fueras otro usuario aprovechando los mails…

Basicamente lo que se necesita es el mail de facebook de la persona a la que quieras enviar el mensaje, que suele ser (nombredeusuario@facebook.com) y por otra parte se necesita el mail asociado a la cuenta de facebook del usuario (mailquesea@gmail.com) por el que te quieres hacer pasar. Este segundo dato solo se podría saber si el usuario tiene el mail visible al público, y se saca a traves del enlace de información del perfil del usuario, y una vez dentro de información, abajo del todo, en direccion de correo electronico (ojo que no es tipo usuario@facebook.com) informacion facebook

Al final se consigue un mensaje en la cuenta del usuario que la quieras enviar, como si fuera cualquier usuario de facebook (siempre que tenga el mail abierto al público)
Por ejemplo, este es un mensaje que me mande a mi mismo como si fuera Yoriento:

mensaje yoriento

Como veis el mensaje es igual en apariencia, pero en la parte superior derecha muestra una pequeña señal de aviso de que ese mensaje no se puede confirmar que sea de ese usuario, pero es inapreciable. Por ejemplo desde facebook movil, ese aviso ni aparece.

Como último, aquí os dejo un formulario para que podáis hacer la prueba y enviar mensajes en facebook como si fuerais otro usuario. No seais malos que sino lo cierro.
[Formulario cerrado]

En definitiva un grave fallo de seguridad, descubierto por minipunk, y que podría jugar malas pasadas a muchos usuarios. Por lo pronto, iría a configuración y pondría mi dirección de mail como no visible para que no pasen estas cosas…

Comentarios

35 comentarios

mina

Un fallo que detecté esta semana fue que ingresé al chat del face desde el movil y cuando cerré sesión, todos los contactos que estaban conectados en ese momento se eliminaron de mis amigos.
Por un momento pensé que habían hackeado mi cuenta, luego comprendí que fue un error del mismo face, el cual tiene en su sistema muchos errores.

ana m.

Gracias de nuevo por compartir tus descubrimientos.

Un saludo.

alba

Y si el nombre de usuario del destinatario es compuesto? por ejemplo Daniel Torrejón. tendría que escribir danieltorrejon@facebook.com? o lo separo con una barra baja. La tilde no cuenta tampoco no?

alba

De hecho me acabo de dar cuenta que yo no tengo “Nombre de usuario”, solo tengo”Nombre”. Eso significa que a mi misma no podria mandarme mensajes de esta forma?

javier

De hecho ni es necesario saber el correo de facebook ya que al entrar al perfil de cada usuario viene el numero ID a este numero le agregas la arroba y listo. ejemplo: ID@facebook.com

wanfry

Hola

Lo he probado con el id y no funciona, parece que solo funciona con el nombre de usuario del tipo usuario@facebook.com

La cosa es que varios días después del descubrimiento del fallo y aún no lo han arreglado…

Un saludo y gracias por compartir.

Iván García

Hola, gracías a todos por los comentarios, y perdon por tardar en enviarlos.

Este formulario no es nada especial, y lo podría hacer cualquiera, o incluso desde muchas páginas web que tienen la tipica pestaña de “enviar a un amigo” se puede hacer.

A veces no funciona, ya que si hay muchos usuarios enviando mensajes a la vez desde la misma ip (este formulario), facebook bloquea alguno de los mensajes.

El bug sigue sin solucionarse, y aún se pueden enviar mensaje como si fueras otro usuario.

Alejandro Pinto .Com

Hola Iván

Agradeciendo vuestra información acerca de la vulnerabilidad, ojalá pronto la compañia pueda solucionarlo.

Saludos,

santiago

El otro usuario, puede ver que te mando ese mensaje?

wanfry

No, no puede.

alba

Pues yo todavía no he conseguido hacer que funcione, ni con id ni con nada

oesoft

podrias dar el código fuente? ya que veo que el POST va a esta misma pagina.

diana

Funcionò es cierto!!!

Eu

Sucede igual que cuando desde Outlook por ejemplo, envias un mail usando la opcion “en nombre de”, ciertos servidores de correo, especialmente webmails, y servicios de correo web, no detectan quien lo envia sino que muestran en nombre de quien se envía.

aswered

no se si ya lo resolvieron o no, pero no me funciona. he probado tanto con la ID como el nombre de usuario y nada no me funciona

carolina martinez navarro

Hola, no he logrado que funcione, alguien me puede decir cómo sé cuál es mi ID o cómo se cuál es el de las demás personas para probar?

Muchas gracias.

canaria

Lo he probado varias veces desde este mismo formulario, enviandome mensajes de prueba a mi misma y no me funciona.
El formulario hay que descargarlo desde algún sitio determinado o vale este mismo.
Por favor, una explicación para principiantes.
Gracias

a la vejez...

el correo lo envia a facebook en nombre de la cuenta de correo que se indica como remitente? como si fuera un correo real desde esa cuenta?

Este dato es importante ya que marca la diferencia entre un problema de seguridad de tu servidor de correo, el de facebook o un problema de diseño del sistema de envio de mensajes desde e-mail por parte de facebook

Daniel

Que servidor de correo estas usando?

yocemar

amigos hay que activar la opcion de activar el correo es decir nombre usuario@facebook.com

galove

i think this is not a bug or exploit in facebook.

you can mail to anyone all over the world with different adresses.

for example you can mail to;

billgates@microsoft.com

by using

from: stevejobs@apple.com

so you can mail to xyz@facebook.com by using yzx@facebook.com too.

the person who got the mail or server, must check the return path of the mail.

a la vejez...

Lo que esta claro es que si usas un servidor de correo que no precisa autenticacion puedes enviar correos con cualquier nombre de dominio y usuario, aunque eso no te garantiza que el correo llegue a su destino, todo esto depende de si el servidor de destino hace una comprobacion del MX. Si coincide la ip del remitente con la que tiene el DNS al consultar la reversa por parte del destinatario el correo se entrega, si no es asi es descartado.

Como esto es un jaleo se suelen usar blacklist para filtrar ciertas IPs que usan servidores de correo poco seguros.

alan

muy bueno, pero solo funciona si la persona tiene activado el mail de facebook…

kami

Y cuando la persona (victima) recibe el mensaje y lo contesta la respuesta es enviada a el perfil del cual fue enviado?

nomasestupidez

podrias incluir en el header del correo la IP de quien envia el mensaje para hacerle ‘ingenieria reversa’?? hay forma de saber quien es el anonimo que publica el mensaje??

Mensajes privados ocultos en Facebook

[…] otro día os informaba de un bug de facebook con el que se podían enviar mensajes haciendote pasar por otro usuario, ahora parece, que muchos usuarios se han dado cuenta de que facebook oculta una buena cantidad de […]

guido

Me interesaria saber si es que existe la forma de descubrir quien ha enviado un mensaje en nombre de mi cuenta de facebook , ya que alguien lo ha hecho y me interesaria saber quien es.

MerveYılmaz@focebook.com

Me interesaria saber si es que existe la forma de descubrir quien ha enviado un mensaje en nombre de mi cuenta de facebook , ya que alguien lo ha hecho y me interesaria saber quien es.

demonio667@facebook.com

hola quiero que sepas, que a mi me pareces muy lindo, no ruegues mas que cualquier mujer querria estar a tu lado. un beso

lola

mira esque ultimamente he tenido un error en mi chat salen cosas como si yo las huviera escrito, cuando en realidad no lo hice porque no estaba conectada… estoy desesperada porque ya he cambiado la contraseña 2 vecez y estoy segura que yo no he escrito esas cosas tan feas ayudame estoy segura que no esque que me lo hackiaron por que me deja entrar perfectamente

Adrian

ola ivan necesito que me hagas un favor tio , el caso es que la xica que me gusta que aun no le eh dixo nada en fin ella ha bloqueado la opcion de recibir invitaciones para agregar y para recibir mensajes del resto de las personas que no tiene agregadas solo puede recibir de mensajes de quienes tenga ella agregada y bueno ivan como veras tiene bloqueadas ambas opciones y quiero comunicarme con ella y necesito escribirle urgentemente a ella yy boee no sabes que se podria hacer?¿ algun truco o algo para que le llegue un mensaje mio y justamente ella me dio su facebook pero hace tiempo que no le escribia y recien encuentro el face que me lo habia escrito en un papel y por eso recien la busque y ella tiene blokeada esas opciones y ahora como hago? ayudame ivan tio! pff! de verdad quiero comunicarme con ella =(

Karen.

Yo quiero registrar en Facebook pero mi primo utilizo su Facebook. Y yo llano puedo crear una cuenta de Facebook. En mi tableta

Brenda

Mira, tengo este problema…y t aclaro q no es para hacer una maldad es simplemente para limpiar mi honor de una mentira q le dijeron a mi novio…Lo mas triste es q la mentira viene de su hijo, q es mitòmano y cleptòmano. Pobre ninño, es hijo tb de una mujer que es Bipolar con trastorno limite de personalidad, alcholoica, drogadicta , prostituta y bisexual….Lo peor es que tooodooo esto su hijo lo ha visto toda la vida-. Por eso en realidad lo q creo es q esa pobre criatura realice urgente una terapia psicologica. Pero bueno, para no hacerlo tan largo, lo que necesito es mostrarle a mi novio que su hijo le robo 1000 dolares para comprar marihuana, q de hecho el padre sabe que consume. Entonces quiero que me expliques como hacer un mensaje para mostrarle a mi novio. Tengo los datos del face de su hijo y los datos de la chica que le consigue la droga. Podras ayudarme a esto? Ojala puedas. Gracias!!

daniels sandts juno

me bloquearon mi cuenta me mandan codigo +325 y me dicen que no es valida no me parece justo yo no molesto a nadies x lo que no me lo meresco … gracias x considerarlo

fabian vega

porque me contesta lo mensaje y no me aparace conectada y ell le pasa lo mismo habre cometido algun error en mi cuenta


Deja un comentario