Hulu, durante este fin de semana, ha estado de bastante actualidad. Por un lado, las conversaciones que está manteniendo con Google, Microsoft y Yahoo! para su venta y, por otro lado, su integración (fallida) con Facebook Connect. Durante el fin de semana, el servicio de streaming de vídeo, al poco de lanzar la autentificación utilizando el usuario de Facebook, tuvo que retirarla al comprobar que algunos usuarios, tras acceder, en vez de ver sus datos veían los de otros usuarios del servicio.
La idea de Hulu era hacer que su servicio fuese más social y hacer que los usuarios descubriesen que estaban viendo sus amigos, opinar sobre lo que veían o descubrir nuevos contenidos gracias a las recomendaciones de los contactos en Facebook de los usuarios. Sin embargo, se encontraron que los usuarios accedían a los datos de otros usuarios, incluyendo su perfil en el servicio y sus direcciones de correo electrónico (si bien no tuvieron acceso a los sistemas de Hulu o información sensible como contraseñas o tarjetas de crédito). ¿Y a qué fue debido este error? Teniendo en cuenta los tiempos que corren, alguien podría pensar que podría haber sido algún ataque a la plataforma, pues nada más lejos de la realidad. Este fallo es el resultado de una mala configuración del módulo de Facebook Connect en el lado de Hulu, además de un fallo en la codificación de éste.
Es decir, un fallo humano causó que unos 50 usuarios accediesen a los perfiles de otros, así que retiraron esta funcionalidad para su análisis y corrección. Además, como medida cautelar, Hulu aplicará la configuración de privacidad más restrictiva por defecto a todos los usuarios que se registren en Hulu a través de su cuenta en Facebook. Según un portavoz de Hulu:
Una vez estemos seguros que el error se ha solventado por completo, volveremos a lanzar nuestro programa de Facebook Connect. Pedimos disculpas a los usuarios que se han visto afectados, tenemos la intención de hacer todo lo posible para que el servicio funcione correctamente y evitar problemas similares en el futuro
Precisamente, la semana pasada, el Departamento de Seguridad Nacional de Estados Unidos publicaba una guía con los 25 fallos de seguridad más comunes en los servicios web y que podrían aprovecharse para realizar un ataque. Después de este susto que se han llevado en Hulu, el mal uso de un API va a tener que formar parte de la lista. De todas formas, bromas aparte, este fallo es bastante grave y, sobre todo, da mucho que pensar sobre las pruebas realizadas a esta funcionalidad antes de implementarse en la plataforma y dejarla accesible a todos sus usuarios.