Una de las (des)ventajas de Facebook es poder controlar a cabalidad quien ve qué cosas de tu perfil, ya sea información de contacto, fotos privadas o cualquier otra cosa. Lamentablemente no pasaría mucho tiempo antes de que a un desarrollador se le ocurriera demostrar cuan paupérrima es la seguridad en Facebook.
Jotemático es la demostración perfecta de que la seguridad en Facebook es casi nula, permitiéndonos ver las fotos de contactos que no nos tengan admitidos o las fotos privadas de quienes estén en nuestra lista de contactos. Para hacerlo sólo necesitamos el ID de la persona a buscar. En este caso buscamos a Fernando Ubiergo, ex presidente de la SCD que presentó la nueva ley de derecho de autor con una copia pirata de Office.
Si no sabes identificar el ID de usuario es la serie de dígitos que está luego del &id= y termina con el próximo signo & (o sea 519522792 en este caso) de la URL. Copiamos los dígitos y nos vamos a Jotemático donde tan sólo los pegamos y presionamos enter. El resultado?
Un enlace a cada álbum en el perfil, algo que es un riesgo de seguridad tremendo considerando la cantidad de gente que cree que sus imágenes privadas están a salvo. Una vez hecho eso tenemos acceso a las imágenes del perfil aún cuando no estemos autorizados.
Lo mas probable es que Facebook retire la aplicación en un par de horas si es que no es menos, pero el bug seguirá ahí y la avalancha de aplicaciones diseñadas para saltarse esta «seguridad» es inminente. Como cualquier herramienta está en manos de los usuarios darle una utilización legítima o aprovecharse para averiguar los secretos oscuros de esa ex que hace siglos no ves. Técnicamente no es difícil hacer una implementación buena como la que tiene Flickr para controlar el acceso de tus contactos a tus fotos. Lamentablemente los programadores de Facebook construyeron una puerta blindada y dejaron las ventajas abiertas, por lo que en este minuto es llegar y llevar.
[Imagen]