Lee detenidamente esta frase:
«Por defecto, cualquier usuario de Facebook puede acceder a los álbumes de fotos de cualquier otro usuario, aunque no sean amigos ni tengan amigos en común.»
Sí, es muy probable que después de leer este artículo puedas acceder a las fotos de ese jefe que te cae mal, o a las fotos de tu exnovio o exnovia, o por qué no, a las fotos de la ministra xD. Y todo ello sin tener que agregarlos como amigos.
Vayamos por partes.
1. Cómo ver las fotos de un no-amigo en facebook.
- Iniciamos sesión en www.facebook.com
- Buscamos a la persona que nos interesa pero que no es amiga nuestra. Pinchamos en su nombre.
- Desde el perfil público de dicha persona, nos situamos sobre el link «Añadir como amigo» (sin pinchar). Dicho enlace será de la forma http://www.facebook.com/addfriend.php?id=XXXXXXX, donde XXXXXXX es el identificador de esa persona. Nos apuntamos ese identificador.
- Sin cerrar la sesión de facebook, visitamos http://developers.facebook.com/tools.php?api
- Rellenamos los campos del formulario de la siguiente forma:
- Aplicación: Test Console (este campo no sale siempre).
- Formato de respuesta: Cliente PHP de Facebook.
- En el siguiente desplegable elige: fql.query
- Query (sustituyendo XXXXXXX por el identificador del paso 3):
SELECT name, link
FROM album
WHERE owner=XXXXXXX
- Pulsa el botón. Si esa persona tiene álbumes de fotos y no ha cambiado la privacidad por defecto, a la derecha aparecerán los links a dichos álbumes. Abre otra pestaña en tu navegador web y prueba esos enlaces. Podrás ver sus fotos sin restricción.
Una imagen del formulario anterior rellenado correctamente:
2. Explicación.
Lo que acabas de leer no es un fallo en la seguridad de facebook. Por defecto, todos los álbumes que creemos en facebook serán visibles para todos los usuarios, aunque no sean amigos nuestros, ni tengamos amigos en común.
Desde la página web de facebook (facebook.com), un desconocido no puede conocer los links de nuestros álbumes (a menos que en el perfil público pongamos nuestras fotos, cosa que nadie debería hacer). Pero desde la web para desarrolladores de facebook (http://developers.facebook.com/tools.php?api) hemos visto que se pueden hacer consultas directamente al sistema, y podemos obtener los links de los álbumes, siempre que estos tengan la privacidad por defecto, que es «visibles a todos».
3. Cómo evitar que un desconocido vea mis fotos de facebook.
La solución es simple. Leyendo despacito todos los mensajes que aparecen en pantalla (cosa que a veces no hacemos :().
Cuando se va a crear un nuevo álbum de fotos, facebook muestra esta ventana:
Como se observa en la imagen, el último campo del formulario pregunta «¿Quién puede ser este álbum?», y la respuesta marcada por defecto es «todos».
Cambia la configuración de todos tus álbumes para que su privacidad sea «Sólo amigos» o «Amigos de amigos». Para los álbumes ya creados, esto se hace visitando tu perfil, pinchando en la pestaña «fotos», y en la parte inferior aparecen los álbumes. Justo arriba de los álbumes está el link «Privacidad del álbum». Desde ese enlace se puede cambiar la privacidad de tus álbumes.
4. Para terminar…
Si me conoces en persona, quizás sepas que he hecho algunas aplicaciones para Facebook. A algunos de vosotros os he comentado la enorme potencia que tienen estas aplicaciones, y la cantidad de información a la que puede acceder una aplicación de Facebook cuando el usuario la utiliza por primera vez y pincha en «Permitir».
Por suerte, en Facebook se toman en serio lo de la privacidad, y nos permiten restringir el acceso de las aplicaciones a nuestros datos. Podemos restringir el acceso de forma general para todas las aplicaciones, en lugar de hacerlo una por una. Para ello, hay que ir a «Configuración | configuración de privacidad | Aplicaciones | Configuración». Se debería llegar a una página como ésta:
Tal y como se observa en la imagen, cada vez que pulsamos en «Permitir» al acceder por primera vez a una aplicación estamos: dándole acceso a nuestras fotos, a nuestro muro, a nuestras notas, a nuestro estado sentimental, a nuestra lista de amigos, entre otras muchas cosas.
Como conclusión: presta mucha atención a tu privacidad en las redes sociales, y antes de «Permitir» una nueva aplicación de Facebook, piensa si estarías dispuesto a agregar como amigo a su creador, o restringe mucho la información a la que tienen acceso estas aplicaciones.
El truco lo vi en carlosleopoldo.com.
Buen artículo, aunque el principio es un poco alarmista… ¡parece que FB tenga un grave agujero de seguridad y que cualquiera pueda ver mis fotos!
Sólo se puede acceder si es «Visible para todos»… vale, pero entonces el fallo que denuncias no es «tan» fallo… ya que si marcas «Solo amigos» y encima no tienes perfil público, estás protegido… y si encima eres invisible a las búsquedas, ya ni te cuento… nadie puede sacar tu id de usuario, así que seguridad 110%.
Hola Liboh!
ya sé que no es un agujero de seguridad. Está escrito arriba:
«… 2. Explicación.
Lo que acabas de leer no es un fallo en la seguridad de facebook. …».
La primera frase es alarmista, quizá un poco, pero en el texto se explica cuál es el problema y cómo solucionarlo. Si no fuera por la primera frase, mucha gente no se pararía a pensar en su seguridad.
Haz la prueba, busca a alguien que no sea tu amigo, sigue los pasos de arriba y verás como esa persona tiene los álbumes públicos y lo que es peor: no lo sabe.
un saludo Liboh!
Hola que tal? muy buena publicación. La verdad es que lo intenté y me resultó sin problemas…
…pero una duda,
Conoces algún truco o técnica parecida para ver las fotos de la persona que ha sido ETIQUETADA y no sea mi amigo?
Si me puedes ayudar con un dato sería genial 🙂
Saludos y muy buen Blog!
SELECT name, link
FROM album
WHERE owner=XXXXXXX
En SELECT Pongo el nombre que tiene en FAcebook , ( Coma xD ) Y el link de la persona ?
En FROM Como averiguo como se llama el Album ?
En WHERE owner=xxxxxxx Quedari WHERE owner=ID
@joaquimania: sólo tienes que sustituir las «XXXXXXX».
Por ejemplo, para ver los álbumes de David Villa, cuya página de perfil es:
http://www.facebook.com/profile.php?id=1341782056
Habría que hacer la siguiente consulta:
SELECT name, link
FROM album
WHERE owner=1341782056
( he cogido como ejemplo a Villa porque su perfil está abierto y no le molestará que hagamos esto con sus fotos 😉 )
Muy interesante este articulo, sería posible hacer una consulta similar,para otras secciones, muro,notas,perfil,etc??
Muchas Gracias.
OLA! MUY MUY BUEN ARTICULO . LA VERDAD ES Q LO E INTENTADO ACER PERO M DICE ALGO COMO: EMPTY STRING, POR Q ES ESO? PONGO SU NUMERO D ID. PERO M DICE Q AY UN ERROR. NECESTITO Q M EXEN UN MANO GRACIAS. POR CIERTO , SI ENTRO EN SUSU FOTOS NADIE TIENE PORQ SABERLO NO? NO FORMA D Q LO SEAP M REFIERO
GRACIAS
PORQ M SALEN ESTE TIPO D MENSAGES?? Exception Thrown: FacebookRestClientException
Code: 601, Message: Parser error: unexpected ‘&’ at position 50.
@MARY: el mensaje «EMPTY STRING» aparece cuando intentas ver los álbumes de una persona que no tiene álbumes o ha creados sus álbumes modificando la privacidad por defecto (y seleccionando «visible sólo a amigos», por ejemplo).
a mi no me sale el campo aplication, donde hay que porne «test console» ¿como puede activarse?
El campo que comentas sólo aparece cuando tienes aplicaciones desarrolladas por ti en facebook. Si no te sale el campo no te preocupes, puedes obviarlo y seguir con el resto de pasos. El resultado es el mismo 🙂
esto ya lo arreglo facebook hace tiempo por eso ya no va, hay mil blogs con este fallo por eso los de facebook lo pillaron 😉
@nachete: supongo que esto lo comentarán en más blogs, pero todos los demás sitios donde lo he visto lo tratan como un fallo de Facebook, y no es cierto. Me parece curioso que ya no funcione, pues ello supondría que los de Facebook han limitado su API.
un saludo,
Javi 🙂
tengo un problema con mi facebook..
hace unas semanas que no me aparecen visibles mis albums de fotos en el muro principal.
y la configuración de todos los albums estan abiertas a todo el publico… asi q no entiendo por q no se ven..
hay alguna razon,. o es un fallo de mi face?
Espero y puedan contestarme
GRACIAS!!