Facebook ha sufrido una filtración de datos personales de las más importantes de su historia. Las incógnitas son muchas, y las explicaciones de la compañía han sido escasas y pobres si tenemos en cuenta la magnitud del problema. Direcciones de correo, IDs, comentarios, me gusta e incluso número de teléfonos móviles están dando vuelta por la red.
En total son más de 500 millones de cuentas que, según la compañía, no se obtuvieron pirateando sus sistemas, sino sacándolos de su plataforma antes de septiembre de 2019. En un post en el blog de la compañía, Facebook explica que la extracción de datos personales se hizo a través de método de scraping. El scraping es una táctica a través de la cual, usando software automatizado, se extrae información pública de Internet.
La red social asegura que ya parchearon dicha vulnerabilidad y que el agujero que permitió extraer estos datos en 2019 ya no existe. Y es que, según ha explicado Mike Clark, Product Management Director de Facebook, los datos personales se extrajeron utilizando la versión del importador de contactos que estaba activo en 2019:
"Cuando nos dimos cuenta de cómo los atacantes malintencionados usaban esta función en 2019, hicimos cambios en el importador de contactos. En este caso, lo actualizamos para evitar que atacantes malintencionados usen software para imitar nuestra aplicación y carguen una gran cantidad de números de teléfono para ver cuáles coincidían con los usuarios de Facebook".
Post en el blog de Facebook sobre el filtrado de datos.
La procedencia del filtrado masivo de datos no está del todo clara
No obstante, pese a las explicaciones de la compañía, no está del todo claro que esa haya sido la (única) causa. Según Wired, hay diferentes conjunto de datos personales de los usuarios dando vueltas por la red. Dicho medio apunta a que los 533 millones de registros forman parte de un conjunto de datos completamente diferente del que los atacantes crearon tras abusar de la mencionada herramienta de importación de contactos de la libreta de direcciones de Facebook.
Si bien todos coinciden en que Facebook reparó la vulnerabilidad en agosto de 2019, no está claro cuántas veces se explotó el error antes de esa fecha. Es decir, se desconoce si los 530 millones de cuentas filtradas el fin de semana corresponden a un solo acceso o son el resultado un varios scrappers.
Para complicar un poco más el asunto, la Comisión de Protección de Datos de Irlanda emitió un comunicado en el que apuntan a que el conjunto de datos personales filtrado incluye información agregada de varios scrapping masivos:
"Los conjuntos de datos anteriores se filtraron en 2019 y 2018 y están relacionados con un scrapping a gran escala que, en el momento en que Facebook informó, ocurrió entre junio de 2017 y abril de 2018, cuando Facebook cerró una vulnerabilidad en su funcionalidad de búsqueda de teléfonos. Debido a que el raspado tuvo lugar antes de la aplicación de la GDPR, Facebook decidió no notificar esto como una violación de datos personales..
El conjunto de datos recientemente publicado parece comprender el conjunto de datos original de 2018 (anterior al RGPD) y combinado con registros adicionales, que pueden ser de un período posterior".
Comunicado del DPC Irlandés
¿Un conjunto de datos posterior a la vulnerabilidad de 2019?
Facebook, respondiendo a la solicitud de la Comisión de Protección de Datos de Irlanda, confirma que el conjunto de datos parecen haber sido recopilados por terceros, y que provienen de varias fuentes. Algo que deja más preguntas que respuestas. Sobre todo si tenemos en cuenta que la CPD de Irlanda apunta a que pueden ser de un período posterior.
¿Los conjuntos de datos provienen solo de los raspados masivos de 2018 y 2019 usando la herramientas de contactos? De momento Facebook apuntan a que la respuesta a dicha pregunta requiere de una investigación más profunda. Y por tanto, no está del todo claro:
(…) Los datos en cuestión parecen haber sido recopilados por terceros y potencialmente provienen de múltiples fuentes. Por lo tanto, requiere una investigación exhaustiva para establecer su procedencia con un nivel de confianza suficiente para proporcionar a su Oficina ya nuestros usuarios información adicional.
Respuesta de Facebook al DPC Irlandés
Mientras se aclaran todas estas cuestiones, puedes comprobar si tus datos personales están entre los filtrados.