Enviar mensajes de facebook como si fueras otro usuario (fallo de seguridad)

Ivan Garcia - - Facebook, Seguridad

seguridad mensajes facebook Hace unos momentos me entero via minipunk de una vulnerabilidad de seguridad por parte de facebook, ya que se podrían enviar mensajes en facebook como si fueras otro usuario aprovechando los mails…

Basicamente lo que se necesita es el mail de facebook de la persona a la que quieras enviar el mensaje, que suele ser (nombredeusuario@facebook.com) y por otra parte se necesita el mail asociado a la cuenta de facebook del usuario (mailquesea@gmail.com) por el que te quieres hacer pasar. Este segundo dato solo se podría saber si el usuario tiene el mail visible al público, y se saca a traves del enlace de información del perfil del usuario, y una vez dentro de información, abajo del todo, en direccion de correo electronico (ojo que no es tipo usuario@facebook.com) informacion facebook

Al final se consigue un mensaje en la cuenta del usuario que la quieras enviar, como si fuera cualquier usuario de facebook (siempre que tenga el mail abierto al público)
Por ejemplo, este es un mensaje que me mande a mi mismo como si fuera Yoriento:

mensaje yoriento

Como veis el mensaje es igual en apariencia, pero en la parte superior derecha muestra una pequeña señal de aviso de que ese mensaje no se puede confirmar que sea de ese usuario, pero es inapreciable. Por ejemplo desde facebook movil, ese aviso ni aparece.

Como último, aquí os dejo un formulario para que podáis hacer la prueba y enviar mensajes en facebook como si fuerais otro usuario. No seais malos que sino lo cierro.
[Formulario cerrado]

En definitiva un grave fallo de seguridad, descubierto por minipunk, y que podría jugar malas pasadas a muchos usuarios. Por lo pronto, iría a configuración y pondría mi dirección de mail como no visible para que no pasen estas cosas…

Articulos relacionados:

  1. Guía de las estadísticas de facebook

There Are 35 Comments On This Article.

  1. Un fallo que detecté esta semana fue que ingresé al chat del face desde el movil y cuando cerré sesión, todos los contactos que estaban conectados en ese momento se eliminaron de mis amigos.
    Por un momento pensé que habían hackeado mi cuenta, luego comprendí que fue un error del mismo face, el cual tiene en su sistema muchos errores.

  2. De hecho me acabo de dar cuenta que yo no tengo “Nombre de usuario”, solo tengo”Nombre”. Eso significa que a mi misma no podria mandarme mensajes de esta forma?

  3. Iván García

    Hola, gracías a todos por los comentarios, y perdon por tardar en enviarlos.

    Este formulario no es nada especial, y lo podría hacer cualquiera, o incluso desde muchas páginas web que tienen la tipica pestaña de “enviar a un amigo” se puede hacer.

    A veces no funciona, ya que si hay muchos usuarios enviando mensajes a la vez desde la misma ip (este formulario), facebook bloquea alguno de los mensajes.

    El bug sigue sin solucionarse, y aún se pueden enviar mensaje como si fueras otro usuario.

  4. Sucede igual que cuando desde Outlook por ejemplo, envias un mail usando la opcion “en nombre de”, ciertos servidores de correo, especialmente webmails, y servicios de correo web, no detectan quien lo envia sino que muestran en nombre de quien se envía.

  5. carolina martinez navarro

    Hola, no he logrado que funcione, alguien me puede decir cómo sé cuál es mi ID o cómo se cuál es el de las demás personas para probar?

    Muchas gracias.

  6. Lo he probado varias veces desde este mismo formulario, enviandome mensajes de prueba a mi misma y no me funciona.
    El formulario hay que descargarlo desde algún sitio determinado o vale este mismo.
    Por favor, una explicación para principiantes.
    Gracias

  7. a la vejez...

    el correo lo envia a facebook en nombre de la cuenta de correo que se indica como remitente? como si fuera un correo real desde esa cuenta?

    Este dato es importante ya que marca la diferencia entre un problema de seguridad de tu servidor de correo, el de facebook o un problema de diseño del sistema de envio de mensajes desde e-mail por parte de facebook

  8. a la vejez...

    Lo que esta claro es que si usas un servidor de correo que no precisa autenticacion puedes enviar correos con cualquier nombre de dominio y usuario, aunque eso no te garantiza que el correo llegue a su destino, todo esto depende de si el servidor de destino hace una comprobacion del MX. Si coincide la ip del remitente con la que tiene el DNS al consultar la reversa por parte del destinatario el correo se entrega, si no es asi es descartado.

    Como esto es un jaleo se suelen usar blacklist para filtrar ciertas IPs que usan servidores de correo poco seguros.

  9. nomasestupidez

    podrias incluir en el header del correo la IP de quien envia el mensaje para hacerle ‘ingenieria reversa’?? hay forma de saber quien es el anonimo que publica el mensaje??

  10. Me interesaria saber si es que existe la forma de descubrir quien ha enviado un mensaje en nombre de mi cuenta de facebook , ya que alguien lo ha hecho y me interesaria saber quien es.

  11. MerveYılmaz@focebook.com

    Me interesaria saber si es que existe la forma de descubrir quien ha enviado un mensaje en nombre de mi cuenta de facebook , ya que alguien lo ha hecho y me interesaria saber quien es.

  12. demonio667@facebook.com

    hola quiero que sepas, que a mi me pareces muy lindo, no ruegues mas que cualquier mujer querria estar a tu lado. un beso

  13. mira esque ultimamente he tenido un error en mi chat salen cosas como si yo las huviera escrito, cuando en realidad no lo hice porque no estaba conectada… estoy desesperada porque ya he cambiado la contraseña 2 vecez y estoy segura que yo no he escrito esas cosas tan feas ayudame estoy segura que no esque que me lo hackiaron por que me deja entrar perfectamente

  14. ola ivan necesito que me hagas un favor tio , el caso es que la xica que me gusta que aun no le eh dixo nada en fin ella ha bloqueado la opcion de recibir invitaciones para agregar y para recibir mensajes del resto de las personas que no tiene agregadas solo puede recibir de mensajes de quienes tenga ella agregada y bueno ivan como veras tiene bloqueadas ambas opciones y quiero comunicarme con ella y necesito escribirle urgentemente a ella yy boee no sabes que se podria hacer?¿ algun truco o algo para que le llegue un mensaje mio y justamente ella me dio su facebook pero hace tiempo que no le escribia y recien encuentro el face que me lo habia escrito en un papel y por eso recien la busque y ella tiene blokeada esas opciones y ahora como hago? ayudame ivan tio! pff! de verdad quiero comunicarme con ella =(

  15. Yo quiero registrar en Facebook pero mi primo utilizo su Facebook. Y yo llano puedo crear una cuenta de Facebook. En mi tableta

  16. Mira, tengo este problema…y t aclaro q no es para hacer una maldad es simplemente para limpiar mi honor de una mentira q le dijeron a mi novio…Lo mas triste es q la mentira viene de su hijo, q es mitòmano y cleptòmano. Pobre ninño, es hijo tb de una mujer que es Bipolar con trastorno limite de personalidad, alcholoica, drogadicta , prostituta y bisexual….Lo peor es que tooodooo esto su hijo lo ha visto toda la vida-. Por eso en realidad lo q creo es q esa pobre criatura realice urgente una terapia psicologica. Pero bueno, para no hacerlo tan largo, lo que necesito es mostrarle a mi novio que su hijo le robo 1000 dolares para comprar marihuana, q de hecho el padre sabe que consume. Entonces quiero que me expliques como hacer un mensaje para mostrarle a mi novio. Tengo los datos del face de su hijo y los datos de la chica que le consigue la droga. Podras ayudarme a esto? Ojala puedas. Gracias!!

  17. daniels sandts juno

    me bloquearon mi cuenta me mandan codigo +325 y me dicen que no es valida no me parece justo yo no molesto a nadies x lo que no me lo meresco … gracias x considerarlo

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>