Vuelven los problemas de seguridad en Facebook que en esta ocasión salpican a más de 267 millones de usuarios en Facebook y sus números de teléfono. Estos han sido expuestos en una base de datos en una web sin ninguna protección con contraseña.

Facebook vuelve a sufrir un problema de seguridad

Esto os puede sonar y tenéis motivos para ello, es lo mismo sucedió en septiembre, cuando se expusieron más de 400 millones de usuarios. Esta vez, al menos parece que Facebook no fue el culpable en esta violación de la privacidad, al menos no directamente, como informa Comparitech.

Comparitech se asoció con el investigador de seguridad Bob Diachenko para descubrir el clúster de Elasticsearch. Diachenko cree que esta filtración de datos es probablemente el resultado de una operación ilegal de abuso de la API de Facebook por parte de hackers desde Vietnam, de acuerdo con las pruebas.

La información de la base de datos podría utilizarse para llevar a cabo campañas de spam y phishing SMS a gran escala, entre otras amenazas para los usuarios finales. Diachenko notificó inmediatamente al proveedor de servicios de Internet que gestionaba la dirección IP del servidor para que se pudiera eliminar el acceso. Sin embargo, Diachenko dice que los datos también fueron publicados en un foro de hackers como una descarga.

Dos semanas de acceso a la base de datos

La base de datos de nombres de usuarios de Facebook estuvo disponible al menos del 4 al 18 de diciembre. El informe dice que los delincuentes pueden haber sido capaces de acceder a los datos mediante la explotación de un agujero de seguridad de Facebook, o puede haber sido hecho simplemente extrayendo los datos de aquellos que tienen sus datos publicos.

Todavía se desconoce cómo los delincuentes obtuvieron los ID de usuario y los números de teléfono. Una posibilidad es que los datos fueron robados desde la API de desarrolladores antes de que la compañía restringiera el acceso a los números de teléfono en 2018.

Diachenko dice que la API también podría tener un agujero de seguridad que permitiría a los delincuentes acceder a los ID de usuario y números de teléfono incluso después de que el acceso estaba restringido. «Scraping» es un término utilizado para describir un proceso en el que los bots automatizados filtran rápidamente a través de un gran número de páginas web, copiando datos de cada una de ellas en una base de datos. Es difícil para Facebook y otros sitios evitar este método porque a menudo no pueden distinguir entre un usuario legítimo y un bot.

Facebook parece seguir siendo noticia por motivos inadecuados. Una de las últimas noticias se debía a que Facebook admitía acceder a las ubicaciones de los usuarios, aun cuando personas habían optado por no participar.