Los investigadores dicen que dos conjuntos de datos expuestos públicamente están filtrando datos de Facebook, desde nombres de usuarios hasta contraseñas de texto simple.
Cientos de millones de registros de Facebook, incluidos nombres de cuentas y contraseñas de texto sin formato, se han encontrado en dos conjuntos de datos de aplicaciones expuestas públicamente.
El primer conjunto de datos expuesto públicamente proviene de una compañía de medios con sede en México, Cultura Colectiva, y contiene más de 540 millones de registros, incluidos comentarios, Me gusta, reacciones, nombres de cuentas y más. La segunda copia de seguridad expuesta públicamente, una aplicación integrada en Facebook titulada At the Pool, expuso las contraseñas de texto simple de Facebook para 22,000 usuarios y otros datos. Ambas bases de datos expuestas han sido aseguradas, dijeron los investigadores.
El alcance de los conjuntos de datos expuestos públicamente es similar al de un incidente con Facebook y Cambridge Analytica, que tuvo lugar en marzo de 2018. Sin embargo, en ese caso, los desarrolladores de aplicaciones recopilaron los datos, en lugar de ser expuestos accidentalmente.
«Estas dos situaciones se refieren al problema inherente de la recopilación masiva de información: los datos no desaparecen de forma natural, y una ubicación de almacenamiento abandonada puede recibir o no la atención que requiere», dijeron los investigadores de Upguard que descubrieron los conjuntos de datos expuestos en una Miércoles de correos.
Facebook no respondió a una solicitud de comentarios de Threatpost.
Ambos conjuntos de datos expuestos fueron de desarrolladores de aplicaciones en Facebook que recopilaron datos de personas que usaron sus aplicaciones a través de la plataforma.
Cultura Colectiva, una compañía de medios con sede en México, recopiló datos sobre las respuestas a sus publicaciones en Facebook, lo que les permite ajustar un algoritmo para predecir qué contenido del futuro generará más tráfico. La Cultura Colectiva contiene 146 gigabytes de datos que detallan comentarios, Me gusta, reacciones, nombres de cuentas, ID de FB y más.
Mientras tanto, en The Pool, que se lanzó en 2011, se trata de una aplicación que se integró en la plataforma de Facebook y sirvió para presentar a los usuarios nuevos amigos potenciales.
En el caso de la copia de seguridad de la base de datos expuesta En la reserva, los investigadores encontraron que las contraseñas de texto simple de Facebook para 22,000 usuarios estaban expuestas en Internet pública a través de un cubo de Amazon S3.
La base de datos también expuso datos como ID de usuario, nombres de cuenta, «amigos» del usuario en Facebook. Sus gustos, intereses, fotos y más.
«Las contraseñas son presumiblemente para la aplicación ‘At the Pool’ en lugar de para la cuenta de Facebook del usuario, pero pondrían en riesgo a los usuarios que han reutilizado la misma contraseña en todas las cuentas», dijeron los investigadores.
Mientras que la página web “At the Pool” dejó de funcionar en 2014, “esto debería ofrecer poco consuelo a los usuarios finales de la aplicación cuyos nombres, contraseñas, direcciones de correo electrónico, ID de Facebook y otros detalles se expusieron abiertamente durante un período de tiempo desconocido”, según los investigadores.
Los investigadores notificaron a Facebook sobre los datos de Cultura Colectiva el 10 de enero y nuevamente el 14 de enero. No hubo respuesta, dijeron los investigadores. Debido a que los datos se almacenaron en el almacenamiento en la nube S3 de Amazon, los investigadores notificaron a Amazon Web Services sobre la situación el 28 de enero, que reconoció el incidente pero tampoco hizo nada.
«No fue hasta la mañana del 3 de abril de 2019, después de que Bloomberg se contactó con Facebook para hacer comentarios, que la copia de seguridad de la base de datos, dentro de una cubeta de almacenamiento de AWS S3 titulada «cc-datalake», finalmente se aseguró», dijeron los investigadores.
Mientras tanto, los datos provenientes de «At the Pool» se habían desconectado justo cuando los investigadores estaban investigando el origen de los datos, y antes de enviar un correo electrónico formal de notificación a Facebook, dijeron los investigadores.
El incidente se produce apenas un par de semanas después de que cientos de millones de contraseñas de usuarios de Facebook fueron almacenadas en texto sin formato durante años, descubiertas a principios de marzo .
También se produce casi un año después del incidente de Cambridge Analytica y varios otros problemas de seguridad de datos de Facebook durante el año pasado (como asociaciones de intercambio de datos incompletos y otras violaciones de privacidad ). Según los investigadores de Upguard, estos incidentes muestran que Facebook no tiene el control de la gran cantidad de datos en torno a su plataforma.
«A medida que Facebook se enfrenta al escrutinio de sus prácticas de administración de datos, han hecho esfuerzos para reducir el acceso de terceros», dijeron. “Pero como muestran estas exposiciones, el genio de los datos no se puede volver a colocar en la botella. Los datos sobre los usuarios de Facebook se han extendido mucho más allá de lo que Facebook puede controlar hoy. Combine esa plenitud de datos personales con tecnologías de almacenamiento que a menudo están mal configuradas para el acceso público, y el resultado es una larga cola de datos sobre los usuarios de Facebook que continúa filtrando «.