Los afectados son usuarios estadounidenses cuyos datos como números de teléfono estuvieron expuestos
La investigación fue realizada por la empresa británica Comparitech y el experto de seguridad de datos Bob Diachenko tras precisar que la mayoría de los afectados fueron estadounidenses.
“Las personas identificadas en la base de datos podrían ser blanco de mensajes de spam u otros intentos de estafa utilizando su nombre y número de teléfono”.
Un portavoz de Facebook aseguró que “estamos investigando este problema, pero creemos probable que sea información obtenida antes de los cambios que hicimos en los últimos años para proteger de una mejor manera la información de las personas”.
Cronología de la exposición.
La base de datos estuvo expuesta durante casi dos semanas antes de que se eliminara el acceso. Esto es lo que sabemos:
4 de diciembre: la base de datos se indexó por primera vez.
12 de diciembre: los datos se publicaron como descarga en un foro de hackers.
14 de diciembre: Diachenko descubrió la base de datos e inmediatamente envió un informe de abuso al ISP que administra la dirección IP del servidor.
19 de diciembre: la base de datos ya no está disponible.
Por lo general, cuando encontramos datos personales expuestos como este, tomamos medidas para notificar al propietario de la base de datos. Pero debido a que creemos que estos datos pertenecen a una organización criminal, Diachenko fue directamente al ISP.
Qué datos fueron expuestos
En total, 267,140,436 registros fueron expuestos. La mayoría de los usuarios afectados eran de los Estados Unidos. Diachenko dice que todos parecen ser válidos. Cada uno contenía:
Una identificación única de Facebook
Un número de teléfono
Un nombre completo
Una marca de tiempo
El servidor incluía una página de destino con un panel de inicio de sesión y una nota de bienvenida.
Las ID de Facebook son números públicos únicos asociados con cuentas específicas, que se pueden usar para discernir el nombre de usuario de una cuenta y otra información de perfil.
La forma en que los delincuentes obtuvieron las ID de usuario y los números de teléfono no está del todo claro. Una posibilidad es que los datos fueron robados de la API de desarrollador de Facebook antes de que la compañía restringiera el acceso a los números de teléfono en 2018. La API de Facebook es utilizada por los desarrolladores de aplicaciones para agregar contexto social a sus aplicaciones accediendo a los perfiles de los usuarios, la lista de amigos, los grupos, las fotos, y datos de eventos. Los números de teléfono estaban disponibles para desarrolladores externos antes de 2018.
Diachenko dice que la API de Facebook también podría tener un agujero de seguridad que permitiría a los delincuentes acceder a identificaciones de usuario y números de teléfono incluso después de que se restringiera el acceso.
Otra posibilidad es que los datos hayan sido robados sin usar la API de Facebook, y en su lugar se hayan eliminado de páginas de perfil visibles públicamente.
“Desguace” es un término utilizado para describir un proceso en el que los robots automatizados tamizan rápidamente un gran número de páginas web, copiando los datos de cada uno en una base de datos. Es difícil para Facebook y otros sitios de redes sociales evitar el raspado porque a menudo no pueden distinguir entre un usuario legítimo y un bot. El desguace va en contra de los términos de servicio de Facebook y la mayoría de las otras redes sociales.
Muchas personas tienen la configuración de visibilidad de su perfil de Facebook establecida en público, lo que hace que eliminarlas sea trivial.
Esta no es la primera vez que se expone una base de datos de este tipo. En septiembre de 2019, se expusieron 419 millones de registros en varias bases de datos . Estos también incluyeron números de teléfono e identificaciones de Facebook.
Peligros de los datos expuestos.
Es probable que una base de datos de este tamaño se utilice para phishing y spam, particularmente a través de SMS. Los usuarios de Facebook deben estar atentos a los mensajes de texto sospechosos. Incluso si el remitente conoce su nombre o alguna información básica sobre usted, sea escéptico ante cualquier mensaje no solicitado.
Los usuarios de Facebook pueden minimizar las posibilidades de que sus perfiles sean raspados por extraños ajustando la configuración de privacidad de su cuenta:
Abre Facebook y ve a ** Configuración **
Haga clic en ** Privacidad **
Establezca todos los campos relevantes en ** Amigos ** o ** Solo yo **
Establecer ** ”¿Desea que los motores de búsqueda fuera de Facebook se vinculen a su perfil ** a ** No **
Esto reducirá las posibilidades de que su perfil sea eliminado por terceros, pero la única forma de garantizar que nunca vuelva a ocurrir es desactivar o eliminar por completo su cuenta de Facebook.
Traducción libre del informe original de Comparitech
Vía Business Insider