Criminales usan API de Facebook para engañar a las víctimas

Publicado el

facebook

Facebook tiene una función de vista previa de enlaces, para que los usuarios no tengan que acceder a la web recomendada sin ver antes de qué se trata (las miniaturas que aparecen en Whatsapp al compartir un enlace, por ejemplo).

Esa función se ha estado usando como proxy entre un grupo de criminales que ha estado extrayendo datos de sitios de Internet utilizando servidores API de Facebook como proxy para evitar ser incluidos en la lista negra.

Este abuso de la función de vista previa ha ayudado a extraer datos de sitios de Internet disfrazados como rastreadores de contenido de Facebook. Usaban cuentas de desarrollador de Facebook para realizar llamadas a los servidores de la API de Facebook o Facebook Messenger, solicitando una vista previa del enlace para las páginas que el grupo quería atacar.

Facebook obtendría los datos, los mostraría en una vista previa del enlace y los devolvería a los scrappers de datos como una respuesta de API, listos para ser incluidos en la base de datos del scrapper.

Para qué roban los datos

En Internet hay muchos sitios de ofertas de precios que lo que hacen es rastrear constantemente el contenido de tiendas online para «robar» su contenido de forma automática y publicarlo en el portal de ofertas. Lo mismo ocurre con algunos agregadores de noticias o buscadores verticales. Hay programas especializados en realizar estas acciones, pero muchas veces son bloqueados.

Al usar la API de Facebook burlan los sistemas de seguridad de cada administrador web, ya que la mayoría de ellos permiten que los servidores de Facebook rastreen sus sitios. Si Facebook analiza mi web pienso que es para obtener vistas previas de enlaces en la red social, Facebook Messenger, WhatsApp o Instagram, no imaginaría que hay una persona por detrás queriendo el acceso para robar la información y usarla para otros objetivos.

La acción se publicó la semana pasada por DataDome, una firma de seguridad que brinda capacidades de detección de bots para sitios en línea.

Entre los datos robados hay páginas de resultados de búsqueda (algo que nadie suele compartir), datos que se suelen robar de sitio de anuncios clasificados en busca de entradas recientes, para crear sitios de ofertas, por ejemplo.

Una sola cuenta de desarrollador de Facebook puede analizar hasta 10.000 URLs por hora.

Ahora Facebook ha mejorado la limitación de velocidad en la API de vista previa de Messenger, pero seguramente no es suficiente para evitar este problema.

Comparte en: