Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

Fotos expuestas a errores de la API de Facebook de 6,8 millones de usuarios

Facebook reveló un error de la API de fotos que afectó a hasta 6,8 millones de usuarios, y el anuncio se produjo un día después de que la compañía dijera que pagó más de 1,1 millones de dólares en recompensas por errores en 2018.

El error de la API de Facebook estuvo activo durante 12 días, desde el 13 de septiembre hasta el 25 de septiembre, según la compañía, y puede haber dado acceso a aplicaciones de terceros a más que fotos compartidas en la línea de tiempo de un usuario, que es la forma en que los permisos deberían funcionar.

«En este caso, el error potencialmente les dio a los desarrolladores acceso a otras fotos, como las compartidas en Marketplace o las Historias de Facebook. El error también afectó las fotos que las personas subieron a Facebook pero decidieron no publicar», Tomer Bar, director de ingeniería de Facebook, escribió en una publicación de blog. «Por ejemplo, si alguien sube una foto a Facebook pero no termina de publicarla, tal vez porque perdió la recepción o entró en una reunión, almacenamos una copia de esa foto durante tres días para que la persona la tenga cuando vuelven a la aplicación para completar su publicación «.

Jarrod Overson, director de ingeniería de Shape Security, dijo que estas características empeoraron el error de la API de Facebook.

«Este es un ejemplo de la frecuencia con la que el impulso de una empresa para mejorar la experiencia del usuario viene con el sacrificio de la seguridad y la privacidad. Para presentar una experiencia más rápida a los usuarios, Facebook carga y almacena partes de una publicación incluso antes de que el usuario se haya comprometido a enviarlo «, dijo Overson. «Ningún usuario esperaría razonablemente que estos datos se almacenen si cancelan la publicación y Facebook, al almacenar más datos de los necesarios, se expone a un mayor riesgo innecesariamente».

Según Bar, el error de la API de Facebook puede haber afectado «hasta 1.500 aplicaciones creadas por 876 desarrolladores». Bar agregó que Facebook implementará herramientas la próxima semana para ayudar a los desarrolladores a determinar qué usuarios podrían haberse visto afectados por este problema.

La divulgación de este error de la API de Facebook se publicó en el blog de noticias para desarrolladores de Facebook y no en el sitio de redacción principal de la empresa.

Un portavoz de Facebook dijo que la compañía encontró y solucionó el error el 25 de septiembre. Luego, la compañía notificó a la Comisión de Protección de Datos de Irlanda, los reguladores de GDPR que ya están investigando la violación de Facebook que afectó a 30 millones de usuarios, sobre los usuarios afectados el 22 de noviembre.

«Notificamos a la Comisión de Protección de Datos de Irlanda tan pronto como establecimos que se consideraba una infracción denunciable según el RGPD. Tuvimos que investigar para llegar a esa conclusión. Y una vez que lo hicimos, informamos a nuestro regulador en el plazo de 72 horas». dijo un portavoz de Facebook. «Parte de la razón por la que nos hemos tomado un tiempo para informar a la gente es que hemos estado investigando el problema desde que se descubrió para tratar de comprender su impacto y asegurarnos de que estamos contactando a los desarrolladores adecuados y a las personas afectadas por el error. Una vez que pudimos establecer eso, nos llevó algo de tiempo crear una forma significativa de notificar a las personas y hacer las traducciones «.

Andrew van der Stock, consultor principal senior de Synopsys, dijo que no le sorprendió que tomara tanto tiempo revelarlo, ya que Facebook probablemente obtuvo «asesoramiento legal significativo antes de las notificaciones para minimizar la exposición legal, lo que retrasa significativamente las notificaciones».

«Es casi seguro que las demoras no son un objetivo de la legislación GDPR, pero debido a las grandes sanciones involucradas, lamentablemente no es sorprendente. Los objetivos de GDPR son forzar la rendición de cuentas por violaciones a la privacidad, con suerte minimizar el número de violaciones y la cantidad de cada vez que se produce una infracción, pero en realidad las sanciones legales, financieras y de reputación son tan grandes que las empresas deben ser cautelosas en su enfoque al responder «, dijo van der Stock. «Parece que Facebook solucionó el error rápidamente, pero es decepcionante que haya tardado tanto en recibir una notificación de infracción».

Reacción experta

Según varios expertos, este error de la API de Facebook debería haberse detectado en la fase de diseño o codificación.

Mark Weiner, CMO de Balbix, dijo que el error de la API de Facebook y los dos errores recientes de la API de Google+ demuestran que las organizaciones «no tienen la visibilidad adecuada de los cientos de vulnerabilidades y otras amenazas que enfrentan sus redes y que podrían conducir a la exposición no autorizada de información confidencial».

«Incluso cuando se detectan brechas en la seguridad, la mayoría de las empresas luchan por decidir qué remediaciones priorizar, dados los recursos de TI y la mano de obra limitados», dijo Weiner. «Con 2019 a la vuelta de la esquina, comenzaremos a ver que las organizaciones adoptan herramientas de seguridad que aprovechan la inteligencia artificial y el aprendizaje automático para monitorear continuamente las vulnerabilidades y los vectores de ataque, y para producir listas de soluciones priorizadas basadas en el impacto comercial potencial».

Richard Bird, director de información al cliente de Ping Identity, dijo que el error de la API de Facebook podría haberse evitado.

“El problema fundamental aquí es que los desarrolladores de aplicaciones / API están repitiendo el historial, lo que significa que no se están desarrollando con una mentalidad de seguridad desde el principio y que las API no se están probando completamente con los requisitos relacionados con la seguridad”, dijo Bird. El lugar donde se pueden descubrir las fallas de seguridad está en producción. Esta brecha es solo el comienzo de una carrera hacia la API, todo agravado por las malas prácticas de desarrollo de aplicaciones «.

Van der Stock dijo que «un modelo de amenaza simple habría descubierto esta falla antes de que se escribiera cualquier código».

«Alternativamente, simplemente implementar el principio de control de acceso denegado por defecto habría evitado esta falla. Posiblemente los desarrolladores podrían haber ignorado este principio básico, ya que normalmente no se enseña en muchas carreras de informática», dijo van der Stock. «Ambas actividades básicas indican que los desarrolladores y el personal de seguridad deben trabajar juntos durante el diseño y la implementación de la API, en lugar de después de su lanzamiento».

Recompensa por errores de Facebook

La divulgación del error de la API de Facebook se produjo solo un día después de que la compañía anunciara que en 2018 había pagado más de 1,1 millones de dólares en recompensas por errores a investigadores en más de 100 países. La compañía recibió alrededor de 17,800 informes y emitió recompensas por 700 de esos informes.

La compañía expandió el alcance de sus recompensas por errores para incluir la exposición del token de acceso, que fue el centro de la violación que afectó a 30 millones de usuarios, así como también cubrió el uso indebido de datos por parte de los desarrolladores después del escándalo de Cambridge Analytica.

Overson dijo que hay razones por las que el error de la API de Facebook podría no haberse detectado en la recompensa por errores.

«Los programas de recompensas por errores son una forma en que una empresa puede declarar públicamente que le gustaría tener una relación con los investigadores de seguridad pública. No garantizan que se encontrarán todos los errores ni garantizan que se divulgarán todos los errores encontrados». Dijo Overson. «Las API se incluyen regularmente en los programas de recompensas por errores, pero es la gravedad del problema lo que dicta la recompensa. Los errores de baja gravedad a menudo no reciben recompensas y la respuesta de Facebook y la demora en la divulgación parecen indicar que no lo consideraron un problema grave . «

También te puede interesar...

El proceso ágil funciona cuando …

Fuente: VersionOne Diseñador: Christopher Seero / Krypton Solid Si el proceso ágil se realiza correctamente, es exitoso. Sin embargo, el desafío es definir el éxito, porque la palabra significa cosas diferentes para diferentes personas, particularmente

¿Qué es sudo (superusuario)?

Sudo (superuser do) es una utilidad para sistemas basados ​​en UNIX y Linux que proporciona una forma eficiente de otorgar permisos a usuarios específicos para usar comandos de sistema específicos en el nivel raíz (más

Instalación de VMware ESXi en un servidor físico

Casi todos los centros de datos tienen servidores físicos infrautilizados que ejecutan aplicaciones únicas, lo que los hace perfectos… candidatos para la virtualización. En esta serie de consejos de dos partes, le mostramos cómo convertir

Elija la plataforma ERP adecuada para su PYME

¡Gracias por unirte! Accede a tu Pro + Contenido a continuación. Noviembre de 2015 Grandes decisiones: elija la plataforma ERP adecuada para su pyme ERP, por su propio nombre, está dirigido más a los grandes.

Almacenes de datos e inteligencia empresarial holística

La inteligencia empresarial es el proceso de analizar los datos de la empresa para comprender mejor esos datos, detectar anomalías o tendencias y hacer predicciones. Es posible realizar análisis en sistemas individuales, como el sistema

¿Qué es EMC Corporation? – Definición de Krypton Solid

EMC es un proveedor multinacional de productos y servicios relacionados con computación en la nube, almacenamiento, big data, análisis de datos, seguridad de la información, administración de contenido e infraestructura convergente. Dell adquirió EMC en

¿Qué es la Gestión de Recursos Humanos (HRM)?

La gestión de recursos humanos (HRM) es la práctica de reclutar, contratar, desplegar y administrar a los empleados de una organización. La gestión de recursos humanos a menudo se denomina simplemente recursos humanos (RR.HH.). El

Herramientas de penetración de redes

Por Yuval Shavit, escritor de artículos Las herramientas de penetración de red son herramientas de software que permiten al usuario descubrir información sobre redes y espiar o interferir con el tráfico en esa red. El

Conceptos básicos de DB2

SearchDataManagement.com cubre regularmente los conceptos básicos, las noticias y las tendencias laborales de IBM DB2. Haga que esta guía básica de DB2 sea su recurso para aprender y mantenerse actualizado en todos los aspectos de

¿Qué es el procesamiento en memoria (PIM)?

Procesamiento en memoria (PIM, a veces llamado procesador en memoria) es la integración de un procesador con RAM (memoria de acceso aleatorio) en un solo chip. El resultado a veces se conoce como Chip PIM.

¿Qué es el analizador? – Definición de Krypton Solid

En tecnología informática, un analizador es un programa, generalmente parte de un compilador, que recibe entradas en forma de instrucciones secuenciales del programa fuente, comandos interactivos en línea, etiquetas de marcado o alguna otra interfaz

4 métricas de éxito del chatbot para reforzar la CX

Medir el éxito del chatbot requiere una variedad de métricas del centro de contacto, incluida la satisfacción del cliente, las tasas de finalización, las tasas de reutilización y los comentarios de análisis de voz, todos

Cómo listar filas con caracteres especiales en PL/SQL

Estoy tratando de enumerar las filas que contienen los siguientes caracteres especiales: *, ?, , |. He intentado esto pero parece que no puedo hacerlo funcionar. Cualquier ayuda sería apreciada. (dname es una cadena) seleccione

¿Qué es la administración remota de Windows (WinRM)?

La administración remota de Windows (WinRM) es una función de Windows Vista que permite a los administradores ejecutar secuencias de comandos de administración de forma remota. Maneja conexiones remotas mediante WS-Management Protocol, que se basa

Cuándo usar un comando de línea de comandos

Fuente: iStock / RUSSELLTATEdotCOM Editor visual: Sarah Evans / Krypton Solid Para los administradores de escritorio, una interfaz gráfica de usuario proporciona funciones de visualización útiles, como ventanas, menús desplegables y barras de desplazamiento. Pero

Deja un comentario