Fallo de seguridad en Facebook expuso datos de 6 millones de usuarios

El gigante de las redes sociales no gana últimamente para disgustos. Por si las acusaciones de colaboración con la NSA para proporcionar información de sus usuarios a esta agencia gubernamental no fueran suficiente problema, el viernes por la noche anunciaron en su blog que acababan de solucionar un fallo de seguridad que permitía a personas no autorizadas acceder al correo y teléfono de 6 millones de usuarios.

facebook2000-623x432

Este fallo llevaba activo desde el pasado 2012 y fue encontrado por un investigador que se acogió al programa de recompensas por fallo encontrado que Facebook empezó a ofrecer hace unos meses. Este tipo de programas permiten que aquellos investigadores que encuentren fallos en sistemas o aplicaciones reciban una recompensa económica, evitando así que esa vulnerabilidad se venda en el mercado negro o se haga pública cuando aún no existe una solución.

Aprovechándose de este fallo, se podía acceder a parte de la información personal de un usuario, concretamente su correo electrónico o su número de teléfono. Para ello tan solo era necesario tener información de contacto sobre esa persona o alguna conexión con ella y utilizar la herramienta de descarga de información personal que proporciona Facebook.

Por suerte, responsables de esta red social indicaron que no tenían constancia de que este fallo haya sido usado de forma maliciosa.

Fallos como este nos deberían hacer reflexionar sobre la privacidad de la información que subimos y guardamos en todo tipo de servicios, incluyendo redes sociales. Además, destacan la importancia de los programas de recompensa para aquellos investigadores que dedican su tiempo y esfuerzo en buscar fallos de seguridad para que estos sean solucionados.

Si no se hace de esta forma, seguiremos viendo cómo se publican vulnerabilidades sin que exista solución para estas (la mayoría de las veces por culpa de  la empresa al no darle la importancia que se merece) o, peor aún, que se vendan en el mercado negro y sean aprovechadas por los ciberdelincuentes.

Josep Albors

Operación Tempora: el plan de Reino Unido para espiar las comunicaciones