Facebook pide información de usuarios y dos casos de exposición de datos se descubren

19
Facebook pide información de usuarios y dos casos de exposición de datos se descubren
5 (100%) 2 votos

Algunos nuevos usuarios de Facebook recibían peticiones para otorgar sus direcciones de e mail y claves de acceso para registrar cuentas, conforme lo contado por Kevin Poulson, Daily Beast, el dos de abril. Hasta ese momento, nada muy sospechoso. No obstante, estudiosos de la compañía de seguridad en nube UpGuard notificaron que descubrieron 2 cachés de datos de usuarios de la red social en público alcanzables, creados por aplicaciones de terceros conectados a la plataforma de Fb.

El inicio de la historia

La práctica un tanto sospechosa de solicitar la información de los usuarios fue apreciada por vez primera por un desarrollador de software y especialista en seguridad de la información llamado "E-sushi". Las peticiones se efectuaron para usuarios con muchos servicios de alojamiento de e mail basados ​​en Web. gmail de google no estaba entre ellos, puesto que Fb empleaba el protocolo OAuth para revisar las cuentas de Gmail. Por ende, la comprobación con una clave de acceso de e mail no era precisa.

En contestación al Daily Beast, un portavoz de Fb afirmó que las claves de acceso de e mail no fueron guardadas por el propio Fb. Mas, dados los inconvenientes precedentes de la plataforma con ese género de situación, esa declaración fue recibida con determinado escepticismo.

El portavoz asimismo afirmó que la compañía cerraba la práctica de pedir claves de acceso de e mail para cuentas de webmail.

Continúa tras la publicidad

Los involucrados

Recomendamos:  cat / Antergos / Usuarios >> otros_distros

Ambos cachés fueron recibidos Simple Storage Service (S3) la Amazon Web Services (AWS), en la nube pública de AWS, y configurados para permitir la descarga pública de ficheros. Las exposiciones reportadas se conecta a aplicaciones relacionadas con Fb de 2 empresas diferentes:

El primero, de la Cultura colectiva – una compañía de medios mexicanos – sumaba un volumen de negocios 146 gigas de datos, conteniendo más de 540 millones de registrosincluyendo identificadores de cuenta, nombres de Fb, reacciones asociadas, "curtidas" y comentarios, entre otras muchas cosas. Los estudiosos de UpGuard equipararon el alcance del contenido al recogido por la Cambridge Analytica.

Facebook pide información de usuarios y dos casos de exposición de datos se descubren 1

Datos contenidos en el conjunto expuesto de la Cultura Colectiva

La segunda caché era una copia de respaldo de base de datos de una aplicación integrada a Fb llamada At the Pool"La base de datos incluía etiquetas de columna que sugieren que los datos incluían identificadores de usuarios y nombres, amigos, curtidos, fotografías, acontecimientos, conjuntos, registros de localización y otros datos de perfil, incluyendo canciones, libros, películas y también intereses preferidos. Asimismo había una columna de "contraseña", mas las claves de acceso eran "presumiblemente para la aplicación 'At the Pool', y no para la cuenta de Fb del usuario.

Facebook pide información de usuarios y dos casos de exposición de datos se descubren 2

Ejemplo reducido de datos del conjunto expuesto en el At the Pool

Continúa tras la publicidad

La cantidad de datos del At the Pool no era tan grande como el conjunto de la Cultura Colectiva, mas contenía claves de acceso en texto simple (esto es, desamparadas) para 22.000 usuarios.

conclusión

Los depósitos del S3 que contenían o bien contenían los datos fueron cerrados o bien protegidos. Para la tienda Cultura Colectiva, no obstante, tardó prácticamente 4 meses desde la data de la primera divulgación a fin de que la información fuera protegida.

Recomendamos:  Los 10 mejores complementos de seguridad de WordPress para proteger su sitio web y sus datos

La Cultura Colectiva jamás respondió a e mails alertándolos sobre los datos expuestos. Debido a los datos en el almacenaje en nube S3 de Amazon, UpGuard avisó a Amazon Web Services el 28 de enero. AWS mandó una contestación el 1 de febrero, notificando que el dueño del bucket era siendo consciente de la exposición.

Una contestación por último llegó ayerel día tres, cuando Fb fue contactado por un cronista que solicitaba comentarios sobre la protección de esos datos (que ahora están correctamente protegidos).

La copia de respaldo de la aplicación "At the Pool" se ha desconectado antes que UpGuard pudiese avisar a los desarrolladores. La aplicación ya no está activa y la compañía dueña puede haber dejado de existir.

Para los desarrolladores de aplicaciones en Fb, una parte del recurso de la plataforma es el acceso a parte de los datos generados por los usuarios y sobre ellos. Para la Cultura Colectiva, por servirnos de un ejemplo, los datos sobre contestaciones a cada entrada dejan el ajuste de un algoritmo que prevé qué contenido futuro producirá más tráfico.

Facebook prometió limitar la capacidad de estos desarrolladores de extraer datos personales de sus servicios tras el escándalo de Cambridge Analytica, mas semeja que, aun con las nuevas políticas de la compañía, aún hay aspectos a progresar.

Los datos expuestos en cada uno de ellos de estos conjuntos no existirían sin Fb, mas no están bajo el control de Fb. En todos y cada caso, la plataforma facilita la recolección de datos para terceros, que se hacen responsables de su seguridad.

: UpGuard, ArsTechnica.

Recomendamos:  Los usuarios de Internet en la India aumentarán en un 40 por ciento, smartphones doblar en 2023: McKinsey