Básicamente esta vulnerabilidad consiste en lo siguiente: puedo enviar un mensaje privado a un usuario de facebook suplantando la identidad de otro. La verdad es que es realmente sencillo, creo un simple formulario web con los campos (remitente, destinatario y mensaje). Como facebook activó la cuenta de usuarios para recibir correos electrónicos usuario@facebook.com es el que uso como destinatario. El correo electrónico (Casi siempre visible en los perfiles) es el que utilizo como remitente. Y ese es el resultado
Comentarios
Básicamente esta vulnerabilidad consiste en lo siguiente: puedo enviar un mensaje privado a un usuario de facebook suplantando la identidad de otro.
¿Duplicada? está feo votar duplicada sin enlazar a la que se duplica.
#1 De todas maneras, me temo que todo esto es si tienes habilitado el correo de facebook, por el cual te pueden mandar correos a "Usuario@facebook.com", yo lo tengo desactivado y por mas que pruebo... no hay manera de recibir mensajes externos
#5 eso es cierto, tú te libras, pero lo tiene habilitado la mayoría que han personalizado la url con un usuario.
#6 Y estas seguro que no se puede desactivar? Y no hace falta personalizar la url para tener lo del correo, a mi me lo "ofrece" cada vez que entro a mensajes.
#5 Es una vulnerabilidad común a los servicios de correos, y no es nueva. El único problema de Facebook es no avisar más claramente en el correo de que la identidad no se ha podido comprobar.
#10 Sí, el email spoofing es común, lo que no es común es que se lo trague el propio dominio porque eso si que se puede controlar desde hace tiempo, por ejemplo los avisos de GMail cuando se envía un correo modificado y te dice que quizá el remitente no es el que dice ser. Eso es muy fácil porque cuando realmente te autenticas en un servidor SMTP para enviar el correo éste añade información sobre esa autenticación con lo cual GMail puede saber si el que lo ha enviado realmente estaba autorizado para hacerlo al pasar por su servidor SMTP.
Si no viene a través del servidor SMTP del dominio y no tiene información autenticada del remitente siempre se debería mostrar un aviso, luego que sea el usuario el que decida si el correo es falso o no.
Vamos que no es precisamente algo nuevo. Pero vamos, si realmente quieres seguridad cifra los mensajes y listo.
OLA SOI MARC SHAKERVERG, FUNDADOR DE FEISBUK, KIERO DESVANCAR A GEMEIL, HUSAR MI CORREO PORFI, ENBIA ESTE MENSAGE A 100 AMIJOS DE FEISBUK O FEISBUK DESAPARRECERA.
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Si la gente se pasase al pgp de una vez por todas...
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)
iQEcBAEBAgAGBQJO0OvIAAoJEPK4aZDJfYOuY1kH/3ZyZ5mw++C60pVO0oESeiWO
cjmVji0BAH6x97yojt5wbUc4po64mYj702zD6QLEKsbrcOxFt7G1sZKxR0pHas16
EkynQwO9qvP8ooUtNXWvkVTy9WR+LsTFCY6ngK6r/ZwVeYLkvaX3pKdJ+5D9mi7e
aiPmdvtc4IA1gUSQ2cWQZwnEeRS+xAw+RO060RCsYHmNAWBc7FY85X6GOyXuxwki
V477uamLrCQZzB1cLUd1IfyraN2E20+IMKp8HkUO41qecyUYm2VHp9FlyhC2OROr
oVNISz7fEzNhAdf6JQ8e2liaIefaiKjs6cyXP1z0QhCwS4W9ImBN2H2M85Lt7aw=
=uv6+
-----END PGP SIGNATURE-----
#11 $ gpg --verify cosa
gpg: Signature made Sat Nov 26 14:38:16 2011 CET using RSA key ID C97D83AE
gpg: Can't check signature: public key not found
#26 En mi perfil tienes un enlace a la clave pública, por si no encuentras forma de buscarla a partir del ID.
#c-31" class="content-link" style="color: rgb(227, 86, 20)" data-toggle="popover" data-popover-type="comment" data-popover-url="/tooltip/comment/1449545/order/31">#31 Te he enviado un correo, me ha parecido muy interesante tu respuesta.
#26 Encontre ahora un script que yo uso para automatizar la importacion de claves ya sea para repositorios independientes o claves de correos:
root@local:~/scripts# cat aptkey.sh
#!/bin/bash
gpg --keyserver hkp://subkeys.pgp.net --recv-keys "$1"
sudo gpg --export --armor "$1" | sudo apt-key add -
root@local:~/scripts#
#34 #31 Hace unos años descubrí eso del pgp/gpg y me pareció alucinante. Empecé a usarlo para firmar todos mis emails, incluso intercambiaba algunos correos cifrados...
Hasta que me cansé. Nadie más lo usa, a nadie le importa que lean su correo, de nada servía firmar o dejar de firmar mis mensajes porque nadie comprobaba su firma...
No sé, me sigue pareciendo una idea cojonuda, pero me ha resultado imposible llevarla a cabo de forma práctica.
#35 La verdad es que la integración con los programas es lo más crucial para que la gente se anime a usarlo.
En linux evolution lo integra perfectamente para los correos, hay applets para gnome y kde y para firefox también hay algunos plugins que facilitan el uso.
También depende de la necesidad, cuando vas a transmitir información sensible, es una forma fantástica de conseguirlo.
Cuando estás en un medio poco confiable como puede ser un servicio de correo electrónico, también.
Al tiempo, lo más importante es seguir teniendo dicha tecnología y no perder la clave privada.
#36 Si gmail lo integrara...
#37 No lo integra, pero sí hay un proyecto para él, pero tienes que usar a la fuerza el Firefox, que es el FireGP:
http://es.getfiregpg.org/s/home
Lo tienes todo. No hay pérdidas...
#36 Y Thunderbird con Enigmail también. No dudes...que es un grandísimo proyecto
#34 Lo sé, lo sé. He mandado un correo-e esta misma mañana Pero jejeje....jejejejeje
Ahhh, el tema del repositorio, hago eso y mucho más bajo Debian Sid.
#35 Yo lo hago desde hace mucho tiempo. Incluso, puedo desde los clientes de correo-e añadir una cabecera especial con el GnuPG para hacerlo único y extensible. Es una información única y difundida sólo por mí.
Y no te preocupes, lo uso habitualmente no sólo para 'ciertas' cosas, sino, para muchas otras cosas más.
Tengo experiencia máxima desde hace tiempo de lo que hace y lo que no hace el mismísimo. He usado bastante en muchos sitios y en muchísimas cosas y páginas. Incluso, en lists.debian.org. De muchas cosas. Pero muchas, muchas, muchas.
¿Qué más queréis que os diga? ES algo largo y tedioso.
Slds...
#11 -----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
¿Cómo esto? Jejeje...llevo muuuuuuuuuchos años con GnuPG...muchos...
-----BEGIN PGP SIGNATURE-----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=vJ6Q
-----END PGP SIGNATURE-----
Ivan Garcia ha hecho público un formulario para que cualquiera pueda comprobar la vulnerabilidad por si mismo
http://ivangarcia.com.es/enviar-mensajes-de-facebook-como-si-fueras-otro-usuario-fallo-de-seguridad
Otro problema que nunca tendré
Que crack el mini!
Descubierta vulnerabilidad en Facebok, que permitía que la gente se abriese una cuenta de Facebook y lo usara.
El fallo es más una puerta abierta para los spammers del mundo, enviar spam con la cuenta de alguien de tu círculo de amigos... Vamos que va a ser de coña, aún hay gente hoy día que me preguna por qué recibe emails de spam con su propia dirección de email, están alucinados de que eso sea posible (el viejo puerto 25... )
#20 es tan viejo como el correo y los spammers lo utilizan desde hace años. lo gracioso del asunto es que al ser tu el remitente, te llegan a ti los correos de respuesta y ndr's.
¿Soy al único al que no le aparece el número de comentarios en este meneo?
#16 creo que sí
Pero... este "fallo" lo tiene Gmail también; o ¿cómo creéis que se hace el fishing?
Básicamente cada servidor de correo tendría que tener una dirección IP "de confianza" que le remite los email, o también puede estar firmados y así comprobar el origen... El problema es que si hacen esto joden a todas las webs que "mandan"
spameancorreos, porque casi la mayoría de webs apenas usan el server de correo de serie con una IP que no conoce ni su padreEl problema de Facebook, es que te pone la fotito y demás; así que parece mucho más personal. Pero su sistema de correo es como el de todos.
Si quieres 100% de seguridad en el correo; te montas tu propio server configurado de PM y no usas el jodido Facebook!
por aquí hay una charlas (video) para explicar un poco como funciona esto de la "seguridad" http://www.elbauldelprogramador.com/2011/11/chema-alonso-hablando-de-la-inseguridad.html
En gmail también pasa, aunque lo de facebook tiene más tirria al no meterse sus propias ips al spf...
Bueno si es un buen error, pero decir que mediante un formulario de estos, se puede enviar también un mensaje con un remitente falso a direcciones gmail o cualquier otra. Siempre ha sido así. Probadlo si quereis,
- poned en destino vuestro email de gmail.
- En "quién lo envía" lo que os de la gana por ejemplo larrypage@gmail.com
- Y comprobadlo
Voto errónea porque el señal es claro y por tanto no se ha descubierto nada. Si es cierto que la aplicación de móviles no funciona bien.
Bueno, en el formulario que enlaza, si escribes tu correo o el de otra persona arriba, y en el segundo recuadro el de quien quieres que envíe el correo, te llega uno a tu bandeja de entrada con sus datos...
No sé que es peor
No se si os acordáis de esta noticia... Pillado in fraganti hablando abiertamente de corruptelas en el facebook
Pillado in fraganti hablando abiertamente de corru...
lavozdegalicia.esform spoofing?
La calidad que merecen sus usuarios, ni más ni menos.
#4 ¿Y por qué los usuarios de Facebook merecen esa calidad?
#9 Porque el hipster de turno lo dice.
#9 Por gilipollas
MINIPUNK VETE A ALICATAR CUARTOS DE BAÑO Y DEJA DE HACKEAR FACEBOOK