Les pàgines de Facebook s’han convertit en la manera més fàcil per a moltes marques, productes, pel·lícules, famosos, etc., de començar a comercialitzar a Facebook. Ja hi ha diversos centenars de milers de pàgines a Facebook amb milions d’usuaris en total. Normalment, aquestes pàgines les mantenien persones anomenades "administradors de pàgines" que publiquen actualitzacions regularment a la pàgina.
Els perfils dels administradors de pàgines de Facebook solen ser anònims, per protegir-se de ser bombardejats amb comentaris i preguntes, ja siguin elogis o despeses en lloc del compte mateix. Es mostren públicament només si els administradors han escollit mostrar els seus perfils. Per a les pàgines empresarials o comunitàries, que poden tenir diversos co-administradors, no esperareu que Facebook reveli res més que el nom de la pàgina. Tanmateix, hi ha algunes situacions en què és possible que vulgueu contactar amb un administrador de pàgines de Facebook o que vulgueu saber qui és el propietari d'un Pàgina de Facebook és!
Un investigador de seguretat mexicà va descobrir recentment una greu vulnerabilitat a la divulgació d'informació a Facebook que podria haver permès a qualsevol persona exposar perfils d'administrador de pàgines de Facebook, que altrament no se suposa que sigui informació pública.
Tot va començar quan Facebook va introduir una funció fantàstica perquè els administradors de pàgines s'orientessin al públic "a qui li agradava la publicació específica de la seva pàgina, però no a la pàgina en si", perquè agradés la pàgina enviant invitacions als usuaris que els preguntessin si volien que els agradés la seva pàgina. Pocs dies després, aquests usuaris interactuats poden rebre un correu electrònic autogenerat per recordar-los la invitació.
Mohamed A. Baset, el fundador de la firma de ciberseguretat Seekurity, va rebre una invitació per correu electrònic d’aquest tipus, demanant-li que li agradés una pàgina de Facebook en què anteriorment li havia agradat una publicació. En mirar el codi font del correu electrònic, l'investigador es va adonar que incloïa el nom de l'administrador de la pàgina i altres detalls.
A continuació, l'investigador va informar immediatament del problema a l'equip de seguretat de Facebook a través del seu programa de recompenses d'errors Bugcrowd. L’empresa va reconèixer l’error i li va concedir 2,500 dòlars per les seves troballes.
Baset en el seu entrada de bloc afirma haver descobert l'error als pocs minuts de rebre una invitació (és a dir, en només 2'18 ") sense cap tipus de prova ni prova de conceptes, ni cap altre tipus de processos que requereixen temps.
Baset va descriure l'error com a "Error lògic" en una generació automàtica correu electrònic enviat en nom d’una pàgina de Facebook. No obstant això, Facebook ara ha corregit aquesta vulnerabilitat de revelació d'informació que exposava els administradors de pàgines.
En un comunicat, Facebook va admetre que hi havia un problema, però va afirmar que l'error havia estat corregit.
"Hem pogut comprovar que, en algunes circumstàncies, les invitacions a pàgines enviades a persones que no eren amigues revelarien sense voler el nom de l'administrador de la pàgina que les va enviar. Aquí hem abordat la causa principal, i els futurs correus electrònics no inclouran aquesta informació ".
Tot i que Facebook ja ha corregit aquest problema de divulgació d'informació, les persones que ja han rebut una invitació a aquesta pàgina encara poden obtenir informació sobre l'administrador als correus electrònics d'invitació.
