ENCONTRAMOS VULNERABILIDAD RELACIONADA CON CONOCIDA RED SOCIAL

 

Habiendo notificado a las partes interesadas en tiempo y forma y sin que hasta el momento se haya resuelto el tema, queremos hacer pública una vulnerabilidad de lógica de negocios (Business Logic vulnerability) que hemos hallado y que se encuentra relacionada con una conocida red social. 

 

La vulnerabilidad consiste en publicar el enlace a un artículo de determinado blog en la red social, recibir un "me gusta" por compartir el enlace, borrar el artículo de la red social (para que a la larga no sea considerado "spam" o publicación publicitaria o chatarra) y repetir el proceso indefinidamente, obteniéndose la cantidad de "me gusta" que uno desee ya que una vez que el artículo es borrado de la red social, el "me gusta" no es borrado del blog. Uno puede darse a sí mismo la cantidad de "me gusta" que uno quiera; los mismos serán recibidos en el blog del que se trate. Esta técnica fue aplicada con anterioridad en otros sitios con fines mucho más malignos.

 

La respuesta final de de la red social fue: "Gracias por aclarar esto. Esto no parece ser un problema con Facebook; El alcance de las acciones que está tomando en Facebook es publicar, eliminar y volver a publicar un enlace a su perfil personal. Este es un comportamiento intencionado y aceptado en un perfil de Facebook. Los me gusta que se aplican a su blog provienen de "AddThis", que es un programa de terceros. Si este programa no se comporta de la manera esperada, es probable que se trate de un error o una configuración incorrecta en ese programa. Aunque este problema no califica como parte de nuestro programa de recompensas, apreciamos su informe. Haremos un seguimiento con usted sobre cualquier error de seguridad o con cualquier otra pregunta que podamos tener."

 

Comunicado el problema a "AddThis" (a quienes no hemos responsabilizado ni responsabilizamos del problema), sólo hemos recibido un acuse de recibo. Dado que no encontramos otro informe sobre la vulnerabilidad, el crédito del hallazgo correspondería al señor Luis Carlos Lavric.