Irene Abezgauz, vicepresidenta de gestión de productos de la compañía de seguridad de software Quotium descubrió que, aunque una persona tenga su lista de contactos privada y no esté en tu lista de amigos. Al solicitar su amistad, a través de la opción "amigos que quizá conozcas" es posible acceder a dicha lista. De esta forma, si un acosador quiere recibir la aceptación de amistad de una persona determinada podría usar la ingeniería social accediendo a la lista de amigos de la víctima, enviando solicitudes, y si recibiese algunas aceptación ya tendría amigos en común con la víctima, lo que haría más fácil ser aceptado.
Al notificar este fallo a la empresa, recibió como respuesta que no era posible saber si las sugerencias representaban la lista completa del contacto ignorando así este problema de privacidad.
Aser Aguilar
Más información: http://www.net-security.org/secworld.php?id=16011
Cap comentari:
Publica un comentari a l'entrada
Nota: Només un membre d'aquest blog pot publicar entrades.