Facebook permite ver los álbumes de fotos de CUALQUIERA

EDITADO: Nos avisan en los comentarios que lo que explicamos aquí no es un bug sino que funciona sólo para los álbumes que están configurados para que sean visibles por toda la red. Si quieres saber más sobre cómo cambiar la privacidad de tus álbumes visita este post.

Una vez más la seguridad y privacidad de las redes sociales en entredicho. La historia se la he léido a Carlos Leopoldo y es tan simple que asusta.

Lo primero que hay que saber es qué es la ID del usuario en Facebook. Cuando accedemos a la página de un usuario, lo tengamos a agregado o no, veremos en la parte superior esto:

http://www.facebook.com/profile.php?id=XXXXXXXXX

Donde las XXXXXXXXX se corresponden con una serie de números. Esa es la ID del usuario.

Para ilustrar el ejemplo voy a usar mi ID que a fin de cuentas tengo 4 fotos y me da bastante igual. En mi caso mi ID es 653820368

Pues con una ID a mano hacemos lo siguiente:

  • Ir a la sección de desarrolladores de Facebook
  • En la parte izquierda seleccionamos Formato de respuesta: Facebook PHP Cliente
  • En Método seleccionamos fql.query
  • En el cuadro query que aparecerá escribimos lo siguiente:

SELECT name, link
FROM album
WHERE owner=xxxxxxxxxx

Click en  y en la parte de resultados a la derecha aparecerá lo siguiente:

Cada línea que pone [link] es un enlace a un álbum de fotos que si copiáis y pegáis en vuestro navegador veréis que funciona perfectamente incluso aunque no seais amigos de esa persona.

Sólo funciona en caso de que el usuario para el que se hace la búsqueda tenga las fotos en álbumes. En caso contrario no devuelve resultados.

Privacidad a tope hoygan.

34 comentarios en «Facebook permite ver los álbumes de fotos de CUALQUIERA»

  1. Pingback: Bitacoras.com
  2. He probado con alguna gente que se que tienen albumes, y me da vacio. En algunos otros casos ha funcionado… alguien sabe a que se debe que a veces funcione y aveces no ?

  3. no es para tanto, esto no es verdad no puedes ver las fotos de cualquiera. solo puedes ver las fotos de los album que los usuarios de facebook crean y que permiten que cualquier usuario pueda verla. es tan simple como eso, esto se configura en la privacidad de los album’s y en c/u de cualquier otra seccion de facebook.

  4. El problema es que para probarlo tienes que logearte

    En mi caso sale albumes que estan en modo privado, pero como necesito estar dentro de mi cuenta para usar la herramienta :P

    En amigos de amigo puedo ver fotos y supongo que no las tendran “en abierto” porque parecen fotos familiares

    Buscando a gente con la que no tengo relacion de nombre famoso no hay ningun problema para acceder a su perfil

  5. ID de Carlos Baute: 999944401
    ID de Fernando Tejero: 1228070625
    ID de Luis Fonsi: 582414378
    Leona Lewis: 1134643904
    Pilar Bardem: 1633092973
    Teo Cardalda: 1320983547
    Alberto Comesaña: 1623493938
    Jose Corbacho Nieto: 1557590668
    Enrique del Pozo: 763687951
    Thom Hanks: 684290617
    Si pulsáis en ver amigos encontrareis a mas famosos…
    Y funciona!

  6. Repito aquí lo que ya dije en el post referido, porque se sale de madre la cosa con un error que no es tal:

    “Un amigo ha estado comprobando el método. No hay ningún error de seguridad en este caso, sólo funciona para visualizar aquellos álbumes que los usuarios tengan configurados como públicos, o que hayan dado acceso a la aplicación en concreto (encuestas sobre qué personaje de Star Trek eres, besos, creo en las hadas y demás…).

    Para más referencias el wiki de la plataforma de desarrolladores de facebook

    Album (FQL)
    Photos.getAlbums

    This method returns information from all visible albums satisfying the filters specified […] Privacy note: In this call, an album owned by a user gets returned to an application if that user has not turned off access to the Facebook Platform”

    Y aclaro:

    No se está hackeando absolutamente nada. En facebook hay varios tipos de privacidad para tus fotos y cada uno las configura como quiera de tal modo que puedan ser vistas por:

    1-Amigos (o sólo una lista seleccionada de ellos)
    2-Amigos de tus amigos
    3-Todo el mundo

    Si no estás en una de las dos primeras situaciones respecto al usuario concreto sólo puedes ver las fotos PÚBLICAS. Así que que alguien me explique dónde está la intromisión en la privacidad por el hecho de que todo el mundo pueda ver las fotos que tú mismo has autorizado para que vean. La API lo único que hace es facilitar un poco el proceso. Y si no, prueben a ver fotos de sus amigos con este sistema logueándose con otro perfil y luego comparen con las fotos a las que tienen acceso como amigos. Verán la diferencia.

    Otra cosa es que la gente no sepa o no se moleste en configurar bien la privacidad.

  7. #14 estas equivocado

    Despues de ver el post he verificado mis albums y comprobado que solo estan disponibles para mis familiares

    He pasado el enlace a una persona que tiene cuenta en Facebook pero no me tiene como amigo

    Puede ver mi albums privados

    Con respecto a lo de las aplicaciones no tiene ningun sentido lo que dices.

    En mi caso no tengo ninguna aplicacion chorra con permisos y ademas ¿eso implicaria que si doy permiso a una aplicacion a partir de ese momento cualquiera con cuenta puede acceder a mis fotos familiares?

  8. Farándula, he estado haciendo pruebas con un amigo y tienes toda la razón. Ahora corregiré el post.

    De todos modos no deja de ser surrealista que en un sistema basado en compartir fotos con amigos tenga como configuración por defecto que las fotos sean públicar para toda la red.

  9. #15 Pues mi amigo lo probó delante mío con mi cuenta y la de varios amigos y el resultado era siempre el mismo. Me permitía ver los álbumes públicos, o los de amigos de mis amigos si estaba autorizado, pero no los demás.

    Como veo a varios muy convencidos, lo he vuelto a probar y sigue dando el mismo resultado.
    Puesto que estoy en facebook y obviamente me preocupa la privacidad, les dejo mi id y si alguien consigue ver mis fotos (salvo, obviamente, la foto de perfil), por favor que me lo diga, me pase una captura de pantalla o algo (tranquilos, que no hay nada escandaloso).

    O yo soy muy tronca o aquí alguien se equivoca:

    Mi ID 1512611415
    Patricia Martín Aguilera

    PD: Respecto a las aplicaciones, cada vez que utilizas una la estás autorizando expresamente a recabar información de tu perfil (cualquier información, y lo dicen bien claro antes de usarla), el como utilice después la aplicación tu información dependerá de la buena voluntad de quien la hizo. Aunque estos permisos también son configurables en las opciones de privacidad.

  10. Perdón, se han cruzado los comentarios, veo que ya está comprobado. Gracias.

    PD: a mí también me parece surrealista la configuración pública por defecto.

  11. Repito, si alguien quiere comprobarlo por si mismo le doi mi id

    Antes de subir ninguna foto a FB busque las opciones para separar a los distintos niveles de “amigos”

    Tengo un album, por ahora pequeño, que solo pueden ver 2 grupos especificos y he comprobado que estan accesibles a todo el mundo

    Con respècto a las aplicaciones en todas esta puesto solo amigos y ademas son las basicas que tenemos todos

  12. Yo ni siquiera llego a tanto. Cómo obtenéis el ID de alguien que no es vuestro amigo?. A mi en la barra de direcciones no se me cambia y sigue poniendo mi id.

  13. Hola,

    El chisme éste aun funciona, espero solamente que los de facebook protejan algo más ese tipo de seccion añadiendo una verificacion si la persona es “amiga” o no antes de abrir el album de fotos…

    Pero bueno, si se puede hacer ésto pasando por la seccion developers, basta con encontrar las otras querys, y seguro que se pueden sacar muchas más cosas (como los passwords de 4000 cuentas que consiguió extraer uno en Francia hace unos dias)…

    Chao chao.

  14. Despues de algunas pruebas con otro comentarista con el que no tengo ningun tipo de relacion facebookiana y que tiene los albums protegidos como yo, tengo que dar la razon a los que indicais que solo se ven los albums que estan “en abierto”

    De todas formas no estaria mal que se hiciera un poco de ruido para que la gente comprendiera el riesgo de no mirar estas cosas

  15. si tengo el “nuevo” nombre de usuario??ya q ahora google me da el nombre de usuario, no me da mas los numeros de ID…no se si me esplico…

  16. no puede ingresar a el enlace, “sección de desarrolladores de Facebook ”
    me aparece todo bloqueadome pueden decir como se hace, por favor.
    Gracias

  17. Oyee!! sabes como ver los albumes privados??
    porque en verdad este truco es para ver los albumes publicos si no los tenemos agregados, yo lo que quisiera saber es qué hacer para ver los Privados! me urgee!! :(

Los comentarios están cerrados.