ePrivacidad® - Empresa de reputación en Internet

Fallo de seguridad en Instagram permitía que fotografías quedasen expuestas a terceras personas

El fallo fue descubierto por el español Christian López, investigador en seguridad informática. Desde Instagram han tardado más de seis meses en dar solución al problema, pues Christian puso en conocimiento de los técnicos de la red social su descubrimiento el verano pasado. Según declaraciones de Christian, encontrar una solución era complicado, pero considera excesivo el tiempo que se ha empleado en encontrar y dar con la solución adecuada.

Y es que la vulnerabilidad afectaba directamente a la configuración de la privacidad de los propietarios de las cuentas, haciendo que los propios usuarios, engañados, cambiasen el modo de configuración de su privacidad y que las fotografías quedasen expuestas a terceras personas sin el consentimiento del usuario propiamente dicho.

Para Christian López, descubrir este fallo en la red social Instagram, propiedad de Marc Zuckerberg creador de Facebook, ha sido todo un reto y un triunfo. Y es que compañías como Google, Nokia y Facebook recompensan a los profesionales que cómo Christian informan de estos importantes fallos que inciden directamente en la privacidad y la seguridad de los millones de usuarios de estas plataformas. Como recompensa Christian, además de recibir una cantidad económica por su labor, ha obtenido una mención expresa de agradecimiento en el “Hall of Fame” de la página web de Facebook por contribuir a mejorar la calidad y la prestación de los servicios de plataformas y redes sociales.

El fallo consistía en que la red social Instagram únicamente permitía cambiar la configuración de su perfil de privado a público desde las aplicaciones móviles de IOS y Android. El hacker descubrió que desde la propia página web de Instagram utilizando la técnica CSRF que significa en español “falsificación de petición en sitios cruzados” podía enviar a sus usuarios un correo electrónico o mediante la técnica de phishing un link – una modalidad de estafa que hace “creer” a la víctima o al usuario que realmente la solicitud proviene del sitio “oficial” cuando en realidad no lo es – que al pinchar sobre él cambiase de forma automática y bajo el desconocimiento del usuario la modalidad en la que se encontraba configurada la privacidad de su cuenta, de privada a pública o al revés.

Christian como buen profesional creó varias cuentas falsas para comprobar la magnitud del fallo que había descubierto, no obstante, cualquiera que hubiese descubierto antes este problema en Instagram, podría haber vulnerado la privacidad de miles de usuarios.

¿Hablamos?