weerapat1003 - stock.adobe.com

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Aplicaciones de terceros de Facebook exponen 540 millones de detalles de usuarios

Los investigadores han descubierto otro botín de detalles de los usuarios de Facebook, lo que demuestra que todavía no hay control sobre los datos compartidos con terceros, lo que potencialmente expone a Facebook a más acciones legales y regulatorias.

Un año después del escándalo de intercambio de datos de Cambridge Analytica, los investigadores descubrieron almacenes de datos expuestos públicamente que pertenecen a otras dos aplicaciones de Facebook desarrolladas por terceros.

El equipo de riesgo cibernético de la empresa de seguridad UpGuard encontró un almacén de datos originado en la empresa de medios Cultura Colectiva con sede en México, de 146 GB, que contenía más de 540 millones de registros, detallando comentarios, me gusta, reacciones, nombres de cuentas, ID de Facebook y más.

También se encontró una copia de seguridad separada de una aplicación integrada en Facebook llamada "At the Pool" expuesta a la internet pública a través de un depósito de Amazon S3, que contiene columnas para ID de usuarios de Facebook, amigos, me gusta, música, contraseñas y más para 22.000 usuarios.

Sin embargo, el equipo de descubrimiento dijo que las contraseñas son presumiblemente para la aplicación "At the Pool" en lugar de para la cuenta de Facebook del usuario, pero dijo que las contraseñas se almacenaban en texto sin formato, lo que pondría en riesgo a los usuarios que habían reutilizado la misma contraseña en todas las cuentas.

El equipo de UpGuard también observa que la aplicación parece haber dejado de funcionar en 2014, y agregó que esto ofrece poco consuelo a los usuarios de la aplicación cuyos nombres, contraseñas, direcciones de correo electrónico, ID de Facebook y otros detalles fueron expuestos abiertamente durante un período de tiempo desconocido.

A pesar de que Facebook hizo un esfuerzo para reducir el acceso de terceros a los datos de los usuarios tras el escándalo de Cambridge Analytica, sus descubrimientos muestran que el "genio de los datos no se puede volver a poner en la botella" y que los datos sobre los usuarios de Facebook se han extendido mucho más allá de los límites de lo que Facebook puede controlar hoy.

"Combine esa plenitud de datos personales con tecnologías de almacenamiento que a menudo están mal configuradas para el acceso público, y el resultado es una larga cola de datos sobre los usuarios de Facebook que siguen filtrándose", dijeron en una publicación del blog.

Los datos de "At the Pool" se quitaron de línea mientras UpGuard aún estaba investigando sus posibles orígenes. Los investigadores no saben si eso fue una coincidencia, si hubo un período de alojamiento o si una parte responsable se dio cuenta de la exposición en ese momento.

Por otro lado, UpGuard dijo que los datos de Cultura Colectiva fueron asegurados solo el 3 de abril de 2019, después de que Bloomberg contactara a Facebook para realizar comentarios, a pesar de haberlo notificado a la compañía el 10 de enero y haber realizado un seguimiento cuatro días después. UpGuard también notificó a Amazon Web Services el 29 de enero, quien se comunicó con Cultura Colectiva.

El equipo de UpGuard dijo que los descubrimientos resaltan el "problema inherente de la recopilación masiva de información", que es que no desaparece naturalmente, y que una ubicación de almacenamiento abandonada puede recibir o no la atención que requiere.

Para los desarrolladores de aplicaciones en Facebook, dijeron, parte del atractivo de la plataforma es el acceso a una porción de los datos generados por y sobre los usuarios de Facebook.

Para Cultura Colectiva, los datos sobre las respuestas a cada publicación les permiten ajustar un algoritmo para predecir qué contenido futuro generará la mayor cantidad de tráfico.

"Los datos expuestos en cada uno de estos conjuntos no existirían sin Facebook, sin embargo, estos conjuntos de datos ya no están bajo el control de Facebook", dijo el equipo de UpGuard.

 “En cada caso, la plataforma de Facebook facilitó la recopilación de datos sobre personas y su transferencia a terceros, quienes se hicieron responsables de su seguridad. El área de superficie para proteger los datos de los usuarios de Facebook es, por lo tanto, vasta y heterogénea, y la responsabilidad de protegerla es de millones de desarrolladores de aplicaciones que han construido sobre su plataforma ".

Contexto agregado

Al poner el descubrimiento de datos en contexto, Ilia Kolochenko, CEO de la empresa de seguridad web High-Tech Bridge, dijo que la filtración no es tan dramática como parece.

“La base de datos de registros de 540 millones contiene datos en su mayoría de acceso público, mientras que la segunda base de datos con contraseñas en texto sin formato contiene solo 22.000 registros, es una gota en el océano de credenciales filtradas en 2018”.

El problema real es que la mayoría de los datos [según se informa, compartidos por Facebook con sus socios] aún se encuentran en algún lugar, con numerosas copias de seguridad no controladas y copias no autorizadas, algunas de las cuales ya se están vendiendo en el mercado negro. Es imposible controlar estos datos, y la privacidad de los usuarios corre un gran riesgo”.

“Incluso si cambian sus contraseñas, otros datos, como mensajes privados, por ejemplo, o el historial de búsqueda, permanecerán en algún lugar y, a menudo, en manos de terceros inescrupulosos”.

"Facebook ahora puede enfrentar numerosas demandas civiles multimillonarias y acciones colectivas, por no hablar de enormes multas monetarias y otras sanciones de las autoridades".

Aunque Facebook tiene reglas sobre cómo se pueden usar y almacenar esos datos, existen pocos medios para que Facebook realmente aplique esas políticas hasta después de que se haya producido algún daño, dijo Paul Bischoff, defensor de la privacidad en el sitio de asistencia al consumidor Comparitech.com.

"Cambridge Analytica fue el caso de más alto perfil que llevó a algunos cambios significativos en la forma en que Facebook interactúa con los desarrolladores externos, pero sospecho que hay muchos tesoros de datos de Facebook que se ubican donde no deberían estar, incluidos estos. Y a pesar de que Facebook ha limitado la información a la que pueden acceder los desarrolladores de terceros, todavía no hay nada que Facebook pueda hacer sobre el abuso o el mal manejo hasta después del hecho".

Pautas para socios

Renaud Deraison, director de tecnología y cofundador de Tenable, dijo que parece que Facebook no tiene directrices impuestas cuando se trata de cómo sus socios manejan la seguridad cibernética.

"Mientras la seguridad cibernética siga siendo una idea de último momento en la economía digital, continuaremos viendo este tipo de fugas de datos fácilmente prevenibles", dijo.

Tim Erlin, vicepresidente de gestión de productos y estrategia de la firma de seguridad Tripwire, dijo que las organizaciones no pueden transferir la responsabilidad de proteger datos confidenciales al transferirlos a la nube.

"Cuando es técnicamente factible monitorear continuamente las configuraciones de almacenamiento de Amazon para este escenario exacto, no hay excusa para no proteger los datos de sus clientes de este tipo de violación. Facebook ha sido encontrado, como tantos otros, por socios externos que exponen sus datos compartidos".

Sam Curry, director de seguridad de la firma de seguridad Cybereason, dijo que los próximos pasos para Facebook deberían incluir hacer de la privacidad un valor fundamental.

“Cree un puesto de alto nivel para tener privacidad, déle personal y respáldelo. Luego anuncie una encuesta de 90 días. Convoque asesores independientes y observadores. Luego, tómese 30 días para crear y publicar un plan establecido para solucionar lo que no funciona en casa y al mismo tiempo defender y promover la privacidad para trazar un curso para la industria".

Investigue más sobre Las amenazas de seguridad de la información

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close