Se han encontrado cientos de millones de números de teléfono vinculados a cuentas de Facebook en línea.
El servidor expuesto contenía más de 419 millones de registros en varias bases de datos de usuarios en todas las geografías, incluidos 133 millones de registros de usuarios de Facebook con sede en EE. UU., 18 millones de registros de usuarios en el Reino Unido y otro con más de 50 millones de registros de usuarios en Vietnam.
Pero debido a que el servidor no estaba protegido con una contraseña, cualquiera podía encontrar y acceder a la base de datos.
Cada registro contenía el ID de Facebook único de un usuario y el número de teléfono que figura en la cuenta. La identificación de Facebook de un usuario suele ser un número largo, único y público asociado con su cuenta, que se puede usar fácilmente para discernir el nombre de usuario de una cuenta.
Pero los números de teléfono no han sido públicos en más de un año desde que Facebook restringió el acceso a los números de teléfono de los usuarios.
TechCrunch verificó una cantidad de registros en la base de datos al comparar el número de teléfono de un usuario conocido de Facebook con su ID de Facebook. También verificaron otros registros al hacer coincidir los números de teléfono con la función de restablecimiento de contraseña propia de Facebook, que se puede utilizar para revelar parcialmente el número de teléfono de un usuario vinculado a su cuenta.
Algunos de los registros también tenían el nombre, el sexo y la ubicación del usuario por país.
Este es el último lapso de seguridad que involucra datos de Facebook después de una serie de incidentes desde el escándalo de Cambridge Analytica, que vio más de 80 millones de perfiles eliminados para ayudar a identificar a los votantes indecisos en las elecciones presidenciales de 2016 en Estados Unidos.
Este último incidente expuso los números de teléfono de millones de usuarios solo de sus ID de Facebook, lo que los pone en riesgo de recibir llamadas de spam y ataques de intercambio de SIM, lo que se basa en engañar a los operadores de telefonía celular para que den el número de teléfono de una persona a un atacante. Con el número de teléfono de otra persona, un atacante puede forzar el restablecimiento de la contraseña en cualquier cuenta de Internet asociada con ese número.
Sanyam Jain, un investigador de seguridad y miembro de la Fundación GDI, encontró la base de datos y contactó a TechCrunch después de que no pudo encontrar al propietario. Después de una revisión de los datos, TechCrunch tampoco. Pero después de contactar con el proveedor de alojamiento web, la base de datos se desconectó.
Jain dijo que encontró perfiles con números de teléfono asociados con varias celebridades.
El portavoz de Facebook, Jay Nancarrow, dijo que los datos habían sido eliminados antes de que Facebook cortara el acceso a los números de teléfono de los usuarios.
«Este conjunto de datos es antiguo y parece tener información obtenida antes de que hiciéramos cambios el año pasado para eliminar la capacidad de las personas de encontrar a otros usando sus números de teléfono», dijo el portavoz. «El conjunto de datos ha sido eliminado y no hemos visto evidencia de que las cuentas de Facebook hayan sido comprometidas».
Pero quedan preguntas sobre quién quitó los datos, cuándo se quitó de Facebook y por qué.
Deja un comentario