Los datos de usuarios de Facebook todavía están expuestos en lugares donde no se debería.
Investigadores de UpGuard, una firma de seguridad cibernética, hallaron una gran cantidad de datos de usuarios de Facebook, ocultos a simple vista, en servidores de la nube de Amazon.
Durante muchos años, Facebook permitió que cualquiera que hiciera una aplicación en su plataforma obtuviera información sobre las personas que la usan y los amigos de esos usuarios. Una vez que los datos están fuera de las manos de Facebook, los desarrolladores pueden hacer lo que quieran con ellos.
Los problemas de seguridad de datos pueden ser amplificados por otra tendencia: la transición que muchas empresas han hecho de ejecutar operaciones predominantemente en sus propios centros de datos a servicios de computación en la nube operados por Amazon, Microsoft, Google y otros.
Esos gigantes tecnológicos han creado negocios de miles de millones de dólares al facilitar a las compañías la ejecución de aplicaciones y el almacenamiento de datos, desde documentos corporativos hasta información de empleados, en servidores remotos.
En un caso, la empresa de medios de comunicación Cultura Colectiva, con sede en la Ciudad de México, almacenó abiertamente 540 millones de registros de usuarios de Facebook, incluidos números de identificación, comentarios, reacciones y nombres de cuentas. En la base de datos, que totalizó 146 gigabytes, fue difícil para los investigadores saber cuántos usuarios únicos de Facebook se vieron afectados.
UpGuard envió correos electrónicos a Cultura Colectiva y Amazon durante muchos meses para alertarlos sobre el problema, pero no fue hasta que Facebook se contactó con Amazon que se solucionó la filtración. Esa base de datos se cerró el miércoles y Cultura Colectiva no respondió a una solicitud de comentarios realizada por Bloomberg.
Otra base de datos para una aplicación llamada At the Pool enlistó nombres, contraseñas y direcciones de correo electrónico de 22 mil personas. UpGuard no sabe cuánto tiempo estuvo expuesta la información, ya que la base se volvió inaccesible mientras la compañía estaba investigando.
El problema del almacenamiento público accidental podría ser más extenso que esos dos casos. UpGuard encontró 100 mil bases de datos abiertas alojadas en Amazon. Facebook compartió este tipo de información libremente con desarrolladores externos durante años, antes de tomar medidas recientemente.
«El público aún no se da cuenta de que estos administradores y desarrolladores de sistemas, las personas que custodian estos datos, están siendo arriesgados o perezosos», señaló Chris Vickery, director de Investigación de Riesgo Cibernético en UpGuard.
«No se está poniendo suficiente cuidado la seguridad del big data».
El descubrimiento se da a conocer a un año de que el escándalo de Cambridge Analytica expusiera cómo la información de los usuarios de Facebook no está asegurada y es ampliamente difundida en línea. Las compañías que manejan esa información en diferentes puntos aún no han hecho lo suficiente para ocultar los datos privados.
Hace un año, el director general de Facebook, Mark Zuckerberg, se estaba preparando para testificar ante el Congreso de Estados Unidos sobre un ejemplo particularmente atroz: un desarrollador que entregó datos sobre decenas de millones de personas a Cambridge Analytica, la consultora que ayudó a Donald Trump en su campaña presidencial. Esa instancia es la única que ha llevado a investigaciones gubernamentales en todo el mundo y pedido mayor regulación para la compañía.
En 2018, Facebook inició una auditoría a miles de aplicaciones y suspendió cientos de éstas hasta que pudieron asegurarse de que no estaban manejando mal los datos de los usuarios. Facebook ahora ofrece recompensas para los investigadores que encuentran problemas con aplicaciones de terceros.
Un portavoz de la empresa dijo que sus políticas prohíben almacenar información de Facebook en bases de datos públicas. Una vez que se alertó sobre el problema, Facebook trabajó con Amazon para eliminar las bases de datos, según el portavoz.
Los programas como Amazon Web Services Simple Storage Service, que es esencialmente un disco duro con acceso a internet, ofrecen a los clientes la opción de hacer que los datos sean visibles sólo para la persona que los subió, otros miembros de su empresa o cualquier persona en línea.
A veces, esa información está diseñada para ser pública, como en el caso de un caché de fotos u otras imágenes almacenadas para su uso en un sitio web corporativo. Otras veces, no lo es.
En los últimos años, información almacenada en varios servicios en la nube -como datos militares de Estados Unidos, información personal de suscriptores de periódicos y usuarios de teléfonos celulares- se ha compartido públicamente en línea y ha sido descubierta por investigadores de seguridad.
En los últimos dos años, Amazon ha reforzado los protocolos para evitar que los clientes expongan materiales delicados, agregando advertencias destacadas, haciendo más fáciles las herramientas para los administradores y ofreciendo gratuitamente lo que antes era un complemento de paga para verificar las cuentas de los clientes.
Fuente: Bloomberg