domingo 4 de abril de 2010

Facebook Query Language - Si estás en facebook cuidado

En mi exposición del LimaHack sobre toqué el tema de las redes sociales pero hoy que andaba buscando una pequeña cosilla en facebook encontré un code de un query que te permitía ver fotos de gente que no tenías, despues de un cambio en su query ya no se podía o al menos yo estube tratando de multiples formas y no pude sacar las fotos como decía el tutorial, después de segui provando un rato dije mejor me remito al source code de los query chequearé el wiki de FACEBOOK...


http://wiki.developers.facebook.com/index.php/Main_Page



después de dar unos click por aqui unos click por haya di con el FQL y yo me pregunté que será eso doy click y porfin dije llegué a donde quería...


http://wiki.developers.facebook.com/index.php/FQL



podemos ver un par de ejemplos del query y su funcionamiento pero lo que nos ARMA con una ARMA LETAL y con la cual podemos obtener información importante es esto...


http://developers.facebook.com/tools.php



es una consola de pruebas podemos ejecutar un query para probar el funcionamiento del FQL...


ahora vamos a sacar algo bien interesante...


vamos a buscar a un Juan Sanchez antes de empezar con esto...


?init=quick&q;=juan sanchez

eso es masomenos lo equivalente a poner en el textbox de busqueda de facebook el nombre juan sanchez...


si le dan click derecho al nombre entonces pueden ver su Profile ID que es lo que necesitaremos a continuacion...


http://www.facebook.com/profile.php?id=XXXXXXXXXXXX


en la tool seleccionamos FQL.query

ahora con una syntaxis del FQL vamos a ver que pasaría...


SELECT location, link FROM album WHERE owner=XXXXXXXX


y nuestro response sería...


<?xml version="1.0" encoding="UTF-8"?>

<fql_query_response xmlns="http://api.facebook.com/1.0/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" list="true">



  <album>



    <location/>



    <link>http://www.facebook.com/album.php?aid=-3&id;=XXXXX</link>



  </album>



  <album>



    <location/>



    <link>http://www.facebook.com/album.php?aid=139786&id;=XXXXXXX</link>



  </album>



</fql_query_response>



(recalco el no es mi amigo en facebook nisiquiera conocido)


Lo que yo he hecho ahora ha sido pedir el album de una persona X que no ha configurado bien la privacidad de su facebook... configurando bien seu facebook pueden prohibir que cualquiera vea sus fotos sin embargo... quiero preveerlos de esto...


si investigan bien esto http://wiki.developers.facebook.com/index.php/FQL_Tables y en general los FQL.QUERY con un poco de imaginacion e ingeniería social le podemos sacar información a cualquier facebook... esto es un arma para ladrones de información, creo que por ese lado falla Facebook en su seguridad...



Saludos
Dr.White

2 comentarios:

m.g dijo...

really u have a useful blog and i got more good topics in your site... go ahead )

and ihope u visit my technology news site
http://technewws.blogspot.com

ChEkO dijo...

:( lamentablemente no doy con la tool.php la borraron la movieron ?