Facebook podría dar nombres de spammers, fotos

Facebook es luchando para arreglar un error en su sitio web que podría ser mal utilizado por los spammers para recolectar nombres de usuario y fotografías.

Resulta que si alguien ingresa la dirección de correo electrónico de un usuario de Facebook junto con la contraseña incorrecta, Facebook devuelve un La página "Por favor, vuelva a ingresar su contraseña", que incluye la foto de Facebook y el nombre completo de la persona asociada a la dirección.

La función ayuda a las personas a saber si han escrito mal su dirección de correo electrónico al iniciar sesión, pero podría ser mal utilizado por los spammers para obtener información sobre los 500 millones de usuarios de Facebook.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Un spammer con una lista de correo electrónico podría escribir un script que ingrese al correo electrónico direcciones en Facebook y luego registra los nombres reales. Esto podría ayudar a que un ataque de phishing sea más realista, dijo Atul Agarwal, el investigador que publicó una nota sobre el tema (junto con un guión de muestra que podría recolectar nombres) en la lista de distribución de Full Disclosure el martes.

Alguien podría usar también la característica para generar direcciones de correo electrónico aleatorias y comprobar si realmente funcionaban, dijo Agarwal.

La página de inicio de sesión muestra imágenes de personas, incluso cuando han establecido correctamente su configuración de privacidad para mantener esta información privada, dijo Agarwal. "Cosechar esta información es muy fácil", dijo.

Facebook culpó al problema de un error recientemente presentado.

"Tenemos sistemas técnicos implementados para evitar que las personas y las fotos se muestren a usuarios no relacionados al iniciar sesión, pero un error recientemente introducido impidió temporalmente que funcionaran como se esperaba ", dijo una portavoz de la compañía en un mensaje de correo electrónico. "Ya estamos trabajando en una solución y esperamos remediar la situación en breve".

Se prohíbe robar Facebook para este tipo de información, añadió.

Los estafadores han tenido un interés especial en Facebook en los últimos años, y delincuentes como las personas que escribieron el gusano Koobface pueden interesarse en el error, dijo Roger Thompson, jefe de investigación del vendedor de antivirus AVG.

"Esperaría que la pandilla Koobface corra para intentar tomar ventaja de esto antes de que Facebook lo remueva ", dijo a través de un mensaje instantáneo. "Será interesante ver quién gana".

Robert McMillan cubre las últimas noticias de seguridad informática y tecnología general para The IDG News Service. Sigue a Robert en Twitter en @bobmcmillan. La dirección de correo electrónico de Robert es [email protected]