La web tecnológica Techcrunch ha publicado el hallazgo gracias a una información de Sanyam Jain, investigador de la Fundación GDI. Jain no fue capaz de encontrar al dueño de la base de datos que estaba sin proteger con contraseña y contactó con Techcrunch para evitar que los datos siguieran disponibles. Cuando Techcrunch llamó al host de la base de datos, esta fue retirada.
Según la Fundación GDI, el mayor grupo de números de teléfono afectados por esta filtración son 131 millones de estadounidenses, seguido de 50 millones de vietnamitas y 18 millones de británicos. A preguntas de EL PAÍS, ni GDI ni Facebook han podido dar detalles de cuántos números españoles o latinoamericanos había en esta filtración. «Es imposible comprobar todos los datos así que nuestros investigadores escogen una selección al azar y preguntan por perfiles de perfil alto, lo que nos ayuda a priorizar la severidad de la filtración», dice un portavoz de GDI.
Facebook ha admitido que esos datos proceden su aplicación: «Esta base de datos es vieja y parece tener información obtenida antes de los cambios que hicimos el año pasado para retirar la opción de que la gente encontrara a otros a través de sus números de teléfono. La base de datos ha sido retirada y no vemos ninguna evidencia de que haya sido comprometida ninguna cuenta de Facebook». La compañía también defiende que muchos de esos números en la base de datos estaban duplicados.
Cuando Facebook dice «vieja» se refiere a antes de abril de 2018. Facebook permitía entonces que un usuario encontrara a otro solo mediante su número de teléfono. «Actores maliciosos han abusado estas funciones para escrapear [raspar] información del perfil público introduciendo números de teléfono o emails que ya tenían», decía Facebook en un post de 2018 donde anunciaba este cambio.
Facebook permitía de un modo sencillo vincular números de teléfono con sus propietarios. «Por la escala y la sofisticación de la actividad que hemos visto, creemos que la mayoría de gente en Facebook pudo haber tenido su perfil público escrapeado de este modo», escribía la red en el post.
Facebook emplea el término técnico «escrapeo» usado en círculos informáticos para recoger datos brutos disponibles en público pero que no están reunidos en una base de datos. No es algo ilegal, pero que la web propietaria de los datos no permite que sea accesible con facilidad. Desde la compañía dicen que hoy siguen haciendo esfuerzos para evitar el «escrapeo» de datos.
Una vez más
La aparición de esta base de datos flotando por Internet es un nuevo recordatorio de los «descuidos» de seguridad de Facebook que han ido emergiendo desde Cambridge Analytica, que no dejó ser una filtración masiva de información vinculada a 80 millones de usuarios. La poca vigilancia o esmero por la privacidad de sus usuarios de Facebook en los últimos años viene ahora a perjudicar a sus usuarios.
La gravedad de estas filtraciones no es solo que se «comprometa una cuenta de Facebook», como dice la compañía en su comunicado. La revelación de información personal de usuarios permite ataques refinados como el duplicado de tarjeta sim (o sim swapping) u otros de ingeniería social. Mediante el duplicado de sim, un atacante puede reunir desde distintas fuentes nombre, dirección y número de teléfono de un usuario para convencer a una operadora de móvil de traspasar el número de una sim a otra, permitiendo así el control de un dispositivo desde otro.
Hace pocos días, el fundador de Twitter, Jack Dorsey, fue víctima de uno de estos trucos. Los atacantes lograron tuitear mensajes racistas y ofensivos mediante el móvil desde la cuenta de @jack.
Fuente: El País