Paranoia Hack Lunes, 11 enero 2016

Facebook: Este es el método para obtener imágenes ocultas de usuarios desconocidos

Miguel Guerra

Comunicador dedicado a la Seguridad Informática, Hacking, TIC y Marketing Corporativo.

Las redes sociales como Facebook tienen formas de mantener la privacidad en su perfil. Sin embargo, ya hemos demostrado como ver los amigos ocultos y hasta desconectar a los usuarios. En esta ocasión, se utilizará un sencillo código para ver las fotos ocultas (o no visibles) de la cuenta de un perfil, y posteriormente, lograr un cruce de información.

facebook_fotos_privadas_cruce_informacion_perfiles_ID_miguelguerra

Existen personas que se confían de la privacidad de Facebook o Twitter. No obstante, en un post anterior, vimos cómo obtener desde el API de Twitter información de un usuario, así tenga candado, te tenga bloqueado, o lo más ilógico, cambie el nombre de usuario para despistar. Con la privacidad de Facebook sucede algo similar como se ha demostrado al ver amigos ocultos y cerrar sesión de gente con el FHBT.

Si usamos el sentido común, sabemos que una persona con un perfil en una red social lo utilizará para compartir sus ideas, comentarios, fotos y tener amistades. Y aunque las opciones de privacidad de Facebook parecen seguras, ¿qué sucede cuándo uno de tus contactos es el típico despreocupado que te menciona, te etiqueta, no tiene filtros y deja todo en público? Pues simple: te dejará con menos seguridad (privacidad) porque será el objetivo para saber de ti, sea manualmente o gracias a una tool.

Video demostración:

Cómo funciona:

Esta prueba nos presenta imágenes en las que alguien en algún momento te etiquetó y dejó en público, o que simplemente no tiene los filtros bien configurados en su perfil. El problema de esto es que pueden aparecer imágenes que no necesariamente un usuario quiera que sean visibles por terceros, ejemplos simples, salir espantoso en una imagen, faltar al trabajo y que alguien te etiquete festejando en la playa, que la novia(o) aparezca en actitudes cariñosas con un tercero, que un amigo chismoso te nombre en una foto y te cause lios al aparecer en su muro, averiguar que tu mejor amigo no te invitó a su fiesta o simplementente husmear a quien tiene sus fotografías privadas o te bloqueó.

1) Buscar el perfil de un usuario, ejemplo: Mark Zuckerberg (www.facebook.com/zuck).
2) Ingresar a http://findmyfbid.com/ u otros servicios que nos otorgan el número ID de un perfil de Facebook.
3) Ingresar el perfil de Mark Zuckerberg (ejemplo: www.facebook.com/zuck) y nos dará un número, que es como el DNI de un facebook.
4) En la Barra de Direcciones coloque: https://www.facebook.com/search/#/photos-of (reemplace el ‘#’ por el número ID del perfil, en el ejemplo el ‘#’ de Mark Zuckerberg es un código ID: 4).
5) Luego puede seguir cruzando información de dos usuarios (sospechosos) que son amigos, para ello utilizar el siguiente código: https://www.facebook.com/USER1?and=USER2 (en el ejemplo se utilizó www.facebook.com/zuck?and=moskov) Recuerda que ‘zuck’ es la direccion de Mark Zuckerberg y ‘moskov’ de su amigo Dustin Moskovitz, a quien encontramos en la fotografía.
6) Luego puede seguir las búsquedas con más usuarios en relación a un objetivo, analizar sus demás redes sociales, usar dorks o una tools.

Recomendaciones:

Existen extensiones para Chrome o complementos para Firefox que dicen hacer lo mismo, aunque hay que tener cuidado: pueden instalar un virus en el navegador. Este tipo de argucias para sacarle la vuelta a Facebook solo puede ser corregida por la red social. A los usuarios solo les queda usar el sentido común en qué cosas comparte de su vida real en su vida virtual, agregue amigos con un nivel básico de privacidad porque existen muchas formas para obtener información para fisgonear, acosar, burlar o extorsionar a una persona. Siempre compartan los tips de privacidad y seguridad con sus amigos, así evitan el problema de aparecer en una fotografía no sea deseada.

 

Consultas & asesorías
www.elhackerbueno.com

///////////////////////////////////////////////////////////////////////////////////////////////////////////

Disclaimer:
El autor no se responsabiliza de las opiniones vertidas en los comentarios. Este artículo no pretende ser un manual, ni vulnera la seguridad de ninguna persona o empresa. Los usuarios asumirán su responsabilidad frente a cualquier daño o perjuicio que cometan.

///////////////////////////////////////////////////////////////////////////////////////////////////////////

Miguel Guerra

Comunicador dedicado a la Seguridad Informática, Hacking, TIC y Marketing Corporativo.