Pixsooz - Fotolia

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Error de API de Facebook expuso fotos de casi 7 millones de usuarios

Los reguladores de GDPR ya están investigando un nuevo error en la API de Facebook que el gigante de las redes sociales anunció el viernes y que podría haber expuesto fotos de hasta 6.8 millones de usuarios.

Facebook reveló un error de su API Photo que afectó a hasta 6,8 millones de usuarios, y el anuncio se produjo un día después de que la compañía dijera que pagó más de 1,1 millones en recompensas de errores en 2018.

Según la compañía, el error de la API de Facebook estuvo activo durante 12 días, del 13 al 25 de septiembre, y puede haber otorgado acceso a aplicaciones de terceros a más que fotos compartidas en la línea de tiempo de un usuario, que es cómo los permisos deberían funcionar.

"En este caso, el error le dio a los desarrolladores potencialmente acceso a otras fotos, como las compartidas en Marketplace o en Facebook Stories. El error también afectó las fotos que las personas subieron a Facebook, pero optaron por no publicar", escribió Tomer Bar, director de ingeniería de Facebook, en una entrada de blog. "Por ejemplo, si alguien carga una foto en Facebook, pero no termina de publicarla, tal vez porque perdió la recepción o entró a una reunión, almacenamos una copia de esa foto durante tres días para que la persona la tenga cuando vuelve a la aplicación para completar su post".

Jarrod Overson, director de ingeniería de Shape Security, dijo que estas características hicieron que el error de la API de Facebook fuera aún peor.

"Este es un ejemplo de la frecuencia con la que el empuje de una empresa para mejorar la experiencia del usuario conlleva el sacrificio de la seguridad y la privacidad. Para presentar una experiencia más rápida a los usuarios, Facebook carga y almacena partes de una publicación incluso antes de que un usuario se haya comprometido a enviarla", dijo Overson. "Ningún usuario esperaría razonablemente que estos datos se almacenen si cancelan la publicación y Facebook, al almacenar más datos de los necesarios, se expone a un mayor riesgo innecesariamente".

Según Bar, el error de la API de Facebook puede haber afectado "hasta 1.500 aplicaciones creadas por 876 desarrolladores". Bar agregó que Facebook lanzará herramientas la próxima semana para ayudar a los desarrolladores a determinar qué usuarios podrían haberse visto afectados por este problema.

La divulgación de este error en la API de Facebook se publicó en el blog de noticias para desarrolladores de Facebook y no en el sitio principal de la sala de noticias de la compañía.

Un portavoz de Facebook dijo que la compañía encontró y solucionó el error el 25 de septiembre. La compañía luego notificó a la Comisión de Protección de Datos de Irlanda (los reguladores de GDPR que ya investigaban la brecha de Facebook que afectó a 30 millones de usuarios) sobre los usuarios afectados el 22 de noviembre.

"Notificamos a la Comisión de Protección de Datos de Irlanda tan pronto como establecimos que se consideraba una violación notificable según GDPR. Tuvimos que investigar para poder llegar a esa conclusión. Y una vez que lo hicimos, informamos a nuestro regulador dentro del plazo de 72 horas", dijo un portavoz de Facebook. "Parte de la razón por la que hemos tardado un tiempo en informar a la gente es que hemos estado investigando el problema desde que se descubrió que intentamos comprender su impacto para asegurarnos de que estamos contactando a los desarrolladores adecuados y a las personas afectadas por el error. Una vez que pudimos establecer eso, luego nos llevó algo de tiempo construir una manera significativa de notificar a las personas y hacer las traducciones".

Andrew van der Stock, consultor principal senior de Synopsys, dijo que no estaba sorprendido de que se demorara tanto en divulgar, ya que Facebook probablemente obtuvo "un asesoramiento legal importante antes de las notificaciones para minimizar la exposición legal, lo que retrasa significativamente las notificaciones".

"Los retrasos casi con seguridad no son un objetivo de la legislación de GDPR, pero debido a las grandes sanciones involucradas, lamentablemente no son sorprendentes. Los objetivos de GDPR son forzar la responsabilidad por las violaciones de la privacidad, con la esperanza de minimizar el número de violaciones y la cantidad de el tiempo en que se produce una brecha, pero en realidad las sanciones legales, financieras y de reputación son tan grandes que las empresas deben ser cautelosas en su enfoque al responder", dijo van der Stock. "Parece que Facebook corrigió el error rápidamente, pero es decepcionante que haya tardado tanto en enviar una notificación de incumplimiento".

Reacción experta

Según varios expertos, este error de la API de Facebook debería haber sido notado en la fase de diseño o codificación.

Mark Weiner, CMO de Balbix, dijo que el error de la API de Facebook y los dos errores recientes de la API de Google+ demuestran que las organizaciones "no tienen una visibilidad adecuada de los cientos de vulnerabilidades y otras amenazas que enfrentan sus redes que podrían conducir a la exposición no autorizada de información confidencial".

"Incluso cuando se detectan brechas en la seguridad, la mayoría de las empresas se esfuerzan por decidir qué remediaciones priorizar, dados los limitados recursos de TI y la mano de obra", dijo Weiner. "Con 2019 a la vuelta de la esquina, comenzaremos a ver a las organizaciones adoptar herramientas de seguridad que aprovechan la inteligencia artificial y el aprendizaje automático para monitorear continuamente las vulnerabilidades y los vectores de ataque, y para producir listas de soluciones priorizadas basadas en el impacto potencial del negocio".

Richard Bird, director de información al cliente de Ping Identity, dijo que el error de la API de Facebook podría haberse evitado.

"El problema fundamental aquí es que los desarrolladores de aplicaciones/API están repitiendo la historia, lo que significa que no se están desarrollando con una mentalidad de seguridad desde el inicio y que las API no se están probando completamente con los requisitos de seguridad", dijo Bird. "En última instancia, el único lugar donde se pueden descubrir las fallas de seguridad está en producción. Esta brecha es solo el comienzo de una carrera hacia hacer todo con APIs, compuesto por malas prácticas de desarrollo de aplicaciones".

Van der Stock dijo que "un modelo de amenaza simple habría descubierto esta falla antes de que se escribiera cualquier código".

"Alternativamente, la simple implementación del principio de negar por defecto el control de acceso hubiera evitado este defecto. Es posible que los desarrolladores no hayan tenido conocimiento de este principio básico, ya que normalmente no se enseña en muchos títulos de ciencia de cómputo", dijo van der Stock. "Ambas actividades básicas indican que los desarrolladores y la gente de seguridad deben trabajar juntos durante el diseño y la implementación de la API, en lugar de después de su lanzamiento".

La cacería de errores de Facebook

La divulgación del error en la API de Facebook se produjo apenas un día después de que la compañía anunciara que en 2018 había pagado más de 1,1 millones de dólares en recompensas a investigadores en más de 100 países. La compañía recibió alrededor de 17.800 informes y emitió recompensas en 700 de esos informes.

La compañía amplió el alcance de sus recompensas de errores para incluir la exposición del token de acceso, que fue el núcleo de la brecha que afectó a 30 millones de usuarios, además de cubrir el mal uso de los datos por parte de los desarrolladores tras el escándalo de Cambridge Analytica.

Overson dijo que hay razones por las que el error de la API de Facebook podría no haber sido notado en la recompensa de errores.

"Los programas de recompensas de errores son una forma en que una compañía puede declarar públicamente que les gustaría tener una relación con investigadores de seguridad pública. No garantizan que se encontrarán todos los errores ni garantizarán que se divulgarán todos los errores encontrados", dijo Overson. "Las API se incluyen regularmente en los programas de recompensas de errores, pero es la gravedad del problema lo que determina la recompensa. Los errores de baja gravedad a menudo no reciben recompensas y la respuesta de Facebook y la demora en la divulgación parecen indicar que no consideraron este como un problema grave".

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close