Un colaborador del sitio web The Hacker News descubrió por accidente una gran falla que permite a cualquier persona que sepa como, acceder a más de un millón de cuentas de Facebook, todo sin la necesidad de saber la contraseña.

Él descubrió la falla después de recibir una notificación de correo de Facebook, reenviada por un amigo. La notificación contenía una liga que conduce directamente a la cuenta de su amigo, hecho que descubrió después de seguirla.

Jugando con diferentes parámetros de búsqueda tomados directamente de la liga, llegó a hacer el asombroso descubrimiento de que podía acceder a cuentas de otras personas.

Un miembro del equipo de seguridad de Facebook se dio cuenta del comentario y se dispuso a arreglar la falla.

“Solamente enviamos estas URLs a la dirección de correo de la cuenta del propietario para su comodidad de uso y no para hacerlas públicas. Incluso entonces pusimos protección ahí para reducir la probabilidad que alguien más pudiera dar clic a través de la cuenta”, explicó.

“Para un motor de búsqueda que venga a través de estos enlaces, el contenido de los correos necesitaría haber sido publicado en línea (por ejemplo, a través de sitios de correo electrónico, como alguien señaló, o personas cuyas direcciones de correo electrónico vayan a listas de correos con archivos en línea).”

Aunque las ligas expiran después de un periodo de tiempo (y la mayoría de las 1.2 millones de éstas ya lo han hecho), son deshabilitadas tan pronto se les de clic una vez, funcionan solamente para ciertos usuarios y Facebook ejecuta seguridad adicional para asegurarse de que la cuenta del propietario parece ser de quien accedió, la función obviamente puede ser mal utilizada, por lo que Facebook la desactiva hasta que se pueda “garantizar mejor la seguridad para los usuarios cuyo contenido del correo electrónico sea públicamente visible”

Mientras tanto, se aseguraron las cuentas de todo aquel que recientemente ingresó a la red social a través de esas ligas.