Una enorme base de datos con los números de teléfono de 419 millones de usuarios de Facebook aparece en la red completamente desprotegida, sin contraseña de ningún tipo e inmediatamente accesible por cualquiera, demostrando por enésima vez la brutal irresponsabilidad de la compañía. Aparentemente, cuando Facebook se dedicó a recopilar los números de teléfono de sus usuarios y decidió que se podrían hacer búsquedas por ellos, una serie de actores se dedicaron a lanzar sistemáticamente búsquedas de números aleatorios y recopilarlas, algo que Facebook simplemente tardó muchísimo tiempo en impedir, a pesar de que una mínima auditoría del uso de sus sistemas habría hecho ese mal uso completamente evidente para ellos. Todavía no está disponible una herramienta que permita comprobar si tu teléfono está entre los hechos públicos, pero probablemente lo estará en breve. En la base de datos aparece el ID de Facebook de los usuarios y el número de teléfono que han asociado a su cuenta, lo que permite acceder a su perfil y obtener datos adicionales que podrían hipotéticamente ser utilizados como parte de esquemas de ingeniería social para todo tipo de fines.
¿Qué alega Facebook? Simplemente, «que no fueron ellos». Como si una excusa así sirviese para eximir de responsabilidad a quien posee una plataforma y permite, de manera completamente irresponsable, que sea explotada para algo así. En un momento en el que el SIM swap, consistente en convencer a tu proveedor de telefonía para que cambie tu número de teléfono a una tarjeta SIM de su propiedad, se ha convertido en una amenaza cada vez más habitual, va Facebook y permite que se extraigan de su plataforma nada menos que los números de 419 millones de sus usuarios. En muchos casos, un SIM swap se lleva a cabo para poder obtener el segundo factor de autenticación en el acceso a una cuenta desde un nuevo dispositivo, para cambios de contraseña o para otras cuestiones relacionadas con la seguridad. Decididamente, no un problema que queramos tener, y que puede ser la base que posibilite otro tipo de ataques, como el recientemente experimentado por Jack Dorsey, CEO de Twitter. Además, los números de teléfono tienen un nivel de criticidad mayor dado que, en muchos casos, permanecen bastante tiempo vinculados al usuario, lo que quita validez a la primera línea de defensa utilizada por la compañía, que ha sido simplemente decir que «los datos eran antiguos«. Además, permitir la recolección de semejante cantidad de números de teléfono incrementa la probabilidad de que esos usuarios se vean sometidos a mayores niveles de spam telefónico con total impunidad.
Es un caso más de total irresponsabilidad en la gestión de una plataforma. Lo mínimo que hay que exigir a una compañía que comercia con los datos de sus usuarios es que trate estos datos con un mínimo de responsabilidad. En lugar de esto, la impresión es que en Facebook, cualquiera puede tomar los datos que le dé la gana, incluidas contraseñas, copiarlos en un servidor cualquiera sin ningún tipo de protección, y olvidárselos ahí tranquilamente hasta que alguien más los encuentra, o permitir alegremente que cualquier socio o cualquier actor con malas intenciones del que no se ha verificado prácticamente nada los recopile, se los lleve y los comprometa, o los utilice para fines siniestros de todo tipo. Obviamente, tras ya demasiados casos que demuestran fehacientemente que las prácticas de seguridad internas de Facebook son un maldito e impresentable desastre, queda claro que simplemente multar a la compañía, aunque sea con cinco mil millones de dólares, no es una solución.
Facebook se ha convertido en un verdadero problema, en la verdadera definición de lo que el social media nunca debería haber llegado a ser. No es ya una cuestión de multas o de sanciones, el problema no se corrige así. Es una cuestión de cultura de seguridad, o de ausencia de la misma. Es el resultado de trabajar con los datos de los usuarios como si esos usuarios fuesen simplemente materia prima, un simple producto que se empaqueta para venderlo. El problema de la reiteración constante de este tipo de noticias es que nos llevan a creer que son «lo normal», algo habitual y supuestamente inevitable, parte del panorama. Pero no, no tiene que ser así. No debería ser así. Cuando los problemas de seguridad se suceden de manera constante, uno detrás de otro, y la compañía no hace nada más que disculparse (tras intentar escaquearse previamente de su responsabilidad), es que estamos hablando de un problema tan fuertemente imbricado en la cultura de esa compañía, que muy posiblemente no tenga solución.
This post is also available in English on my Medium page, «Yet another example of Facebook’s breathtaking irresponsibility«
La mala conducta de Facebook ya ha llegado a tal nivel que esta empresa se está haciendo merecedora de clausura definitiva o bien de que pase su gestión a manos de un organismo externo.
La primera opción va a crear un tremendo caos y la segunda va a poner la información en manos de un gobierno que no se distingue precisamente por sus prácticas democráticas .
Si la empresa no estuviera basada en EEUU, tengan ustedes por seguro que ya el gobierno habría tomado medidas drásticas hace tiempo, en casos pasados y por conductas menos graves, lo ha hecho, aprovechando la excusa para apropiarse de información relevante de empresas y ciudadanos americanos y no-americanos, caso Megaupload.
No es una base de datos de Facebook, ni se han vulnerado los datos de los usuarios en sus servidores.
Alguien utilizo un bot para realizar búsquedas con números de teléfono aleatorios, utilizando el motor de búsqueda de la red social, hasta que encontraba un usuario asociado con ese número de teléfono.
Es una táctica habitual para recopilar bases de datos ilegales a través del listing telefónico. Se ha usado innumerables veces, con servicios de páginas blancas, por ejemplo.
El volcado de datos se suele realizar por la propia herramienta de web scraping, en servidores de proveedores de hospedaje de terceros, que son utilizados como almacén temporal.
Facebook dio de baja ese servicio en Abril de 2018.
Ese scraping se puede producir en cualquier página web o red social que contenga datos personales y un sistema de búsqueda por números de teléfono, como Twitter o Linkedin. Es bastante más común de lo que parece .
Es obvio, que seguirán produciéndose vulneraciones del servicio de Facebook, Twitter o cualquier otra red social por terceros, siempre que se produzca una infracción del uso de la red social por otras compañías, como sucedió con Cambridge analytica, etc.
De ahí al sensacionalismo y la alarma social, hay un tramo bastante largo debido a otras causas, mayormente explotar la ignorancia y el temor de otras personas. Nadie ha pedido algo como #deleteLinkedin.
–
«It is not believed to have been compiled or put there by Facebook.
The database was taken offline after the news site TechCrunch reported the issue to the web hosting company.
In April 2018, Facebook switched off a feature that let people search for other users by typing in their phone number.»
«The company said «malicious actors» had abused the feature by typing in millions of phone numbers to find out who owned them.»
–
Check If You Were a Victim of the 2012 LinkedIn Hack
Twitter advising all 330 million users to change passwords
Eight Unsecured Databases Leak 60 Million Records of Scraped LinkedIn Data
Bueno, la solución consiste en dejar de usar Facebook y buscar alternativas más respetuosas con los datos de los usuarios.
Ni me molesto
Jajajaja! Si siempre esperamos una respuesta a los debates que plantea Enrique, son los tuyos.
Literalmente he soltado una carcajada ante tu comentario. Un aplauso.
Mientras la gente siga usando este desastre, no hay solución. Los usuarios al final tenemos lo que nos merecemos.
Como todo, para gustos. De acuerdo con la primera de exigir responsabilidades, como con todas las empresas, y que la responsabilidad cotilla del personal hace de la red un cierto tipo de cloaca.
Pero discrepo totalmente de la segunda, sobre la inutilidad de una red social como facebook.
La cosa se pone realmente seria cuando se están usando los teléfonos móviles como medio de identificación personal.
Hoy toca Facebook.
Lo siento pero cuando he visto que no estaba, no me he podido resistir.
Excelente artículo,…. Como siempre.