Un fallo de seguridad de Facebook permite a través de su API la recopilación masiva de datos personales de usuarios. La solución pasa por un simple cambio en la configuración de la privacidad.
Facebook es la red social más utilizada del mundo con más de 1.500 millones de usuarios. Por tanto, no es de extrañar que sea objetivo de ciberdelincuentes que tienen como objetivo el robo de datos personales que puedan ser aprovechados para obtener un rédito económico.
Y uno puede esperar de Facebook, como en cualquier otro sistema conectado a la red, que no sea seguro al 100% y que los hackers más espabilados sean capaz de encontrar el resquicio por el que colarse para obtenerlos. Eso sí, lo que uno no espera es que lo tengan tan fácil como han demostrado en SALT.agency.
Un fallo con el que se puede obtener hasta el número de teléfono
Reza Moaiandin, director técnico de esta empresa, descubrió hace unos meses un fallo en la seguridad de la red social que permitiría a un hacker a través de una de las APIs de Facebook husmear en cualquier perfil de usuario. Eso significa obtener sin dificultad y de manera masiva datos personales como nombre, número de teléfono o ubicación, entre otros.
Cuenta como si se echa un vistazo en la configuración de privacidad se encuentran las opciones¿Quién puede buscarte con la dirección de correo electrónico que has proporcionado? o ¿Quién puede buscarte con el número de teléfono que has proporcionado?. Por defecto están establecidas para que cualquiera pueda hacerlo y ahí radica el problema puesto que es a través de esta configuración como Moaiandin consiguió vincular los números de teléfono a las cuentas de usuario.
Lo hizo utilizando un script que generó todas las combinaciones posibles de teléfono utilizadas en Reino Unido, Estados Unidos y Canadá. Utilizando la API que permite a cualquier persona programar aplicaciones para Facebook fue capaz de reunir los identificadores de usuario asociados a cada uno de estos números.
Los datos que devolvía eran número de teléfono, nombre completo, foto de perfil, tipo de teléfono y versión de Facebook Messenger que utiliza ese usuario. Moaiandin apunta que podría haber obtenido más información si hubiese seguido investigando.
Con este fallo de seguridad, una persona con los conocimientos adecuados puede recopilar información no privada de los usuarios que permite el acceso público a números de teléfono, posibilitando entonces el uso o venta de estos datos para propósitos con los que tal vez éste no esté muy contento.
¿Cuál es la solución a este problema de privacidad de Facebook?
Pues aunque Moaiandin se puso en contacto con Facebook dado que cree que el fallo es fácilmente solucionable, desde la red social le comunicaron que no fueron capaces de reproducir el error y, de hecho, dicho fallo continúa sin ser solucionado. Ahora bien, sí le dicen que tienen medios para monitorizar este tipo de comportamientos y detectar abusos realizados con sus APIs.
Bueno, mientras Facebook reproduce o no el proceso que ha llevado a esta persona a la obtención de datos personales de cualquier usuario nosotros mismos podemos solucionar el error de privacidad.
Para ello tan sólo se necesita un sencillo cambio en la configuración de la privacidad que pasa porno compartir el teléfono en tu perfil. Eso o cambiar la configuración por defecto que permite a Todos encontrarte por el número a sólo Amigos, opciones que muchas personas todavía no han modificado.
A pesar de los numerosos casos que no dejan de darse en relación al robo de datos masivo en redes sociales y otros servicios web y que continuamente vemos en las noticias, no deja desorprender cómo hay muchísimos usuarios que todavía no toman las medidas más básicas, las que dependen de ellos, para poner a buen recaudo su privacidad.
Fuente:https://www.malavida.com/
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
