Dicen que el que nada debe, nada teme; así que si tienes algo que ocultar, quizá la siguiente noticia te arruine el día. Se encontró un importante error en Facebook que permitió que terceros vieran con exactitud a quiénes son las personas que contactas por Messenger. Sí: supieron con quién hablabas vía inbox.
El inbox de Facebook dejó de ser privado
Este error es conocido como Fuga de Marcos Entre Sitios (CSFL). El bug usó elementos del código web de la red social para poder enterarse de los nombres de las personas con las que hablas en privado. Esto fue posible aprovechando vulnerabilidades en las propidades de los iframes que existen en Messenger web.
PUBLICIDAD
¿Cómo funciona el bug? A grandes rasgos: si la persona a espiar no había cerrado su sesión en Facebook; con sólo ocultar código malicioso en alguna página web se podía comenzar el espionaje. Este código malicioso realizaba un análisis del estado del iframe y así sabía los nombres de las personas a las que habías contactado por inbox.
Ron Masas de Imperva descubrió el fallo desde noviembre e informó a Facebook. La red social trató de parchar el problema, pero el fracaso fue rotundo. Al final prefirieron frenar el uso de iframes en Messenger.
Por ahora el problema ya ha sido bloqueado, así que tu privacidad vuelve a estar a salvo… ¿o no?