La última semana no ha sido la mejor para Facebook. La primera mala noticia que se conoció fue que la red social había estado solicitando a nuevos usuarios la dirección y la contraseña de sus cuentas de correo como parte del proceso de verificación para registrar nuevas cuentas. Esto supone un riesgo para la seguridad de los usuarios.
La segunda mala noticia, que se hizo pública el pasado miércoles –y que también tuvo como protagonista a Facebook– fue el hallazgo de más de 540 millones de registros de usuarios que estaban alojados en servidores de Amazon sin protección.
Investigadores de UpGuard revelaron que servidores utilizados por dos desarrolladores de terceras partes de aplicaciones para Facebook expusieron datos de millones de usuarios que estaban almacenados en servidores de Amazon mal configurados, quedando la información al alcance público.
Uno de estos servidores pertenece al medio digital mexicano Cultura Colectiva, el cual almacenaba 146 GB con más de 540 millones de registros que contenían datos como nombres y ID de usuarios, información variada relacionada a gustos e intereses de los usuarios, como “me gusta”, comentarios, entre otras cosas más.
El segundo, también almacenado en un servidor Amazon (Amazon S3 bucket), pertenece a la aplicación “At the Pool” y contiene información como contraseñas en texto plano, además de información de los usuarios, como intereses, amigos, música, entre otros. Según los investigadores, se cree que las contraseñas descubiertas en la base de datos eran de la propia aplicación, pero dado que muchos usuarios utilizan la misma contraseña para otros servicios, la exposición supone un riesgo mayor.
Facebook solicita dirección y contraseña del correo de los usuarios
La otra noticia la dio a conocer el 31 de marzo un especialista en ciberseguridad, conocido como e-sushi, cuando a través de su cuenta de Twitter publicó el hallazgo de que Facebook ha estado solicitando a nuevos usuarios que deciden registrase en la red social que ingresen la dirección y la contraseña de su cuenta de correo como parte del proceso de verificación. Si bien esto no es para todos los servicios de correo, el almacenamiento de esta información supone un riesgo para la seguridad de los usuarios.Ver imagen en Twitter
Hey @facebook, demanding the secret password of the personal email accounts of your users for verification, or any other kind of use, is a HORRIBLE idea from an #infosec point of view. By going down that road, you’re practically fishing for passwords you are not supposed to know!90217:27 – 31 mar. 2019683 personas están hablando de estoInformación y privacidad de Twitter Ads
De acuerdo con una declaración pública que hizo la red social al medio Daily Beast, la compañía confirmó la existencia de ese proceso de verificación, pero aseguró que no almacena en sus servidores las contraseñas aportadas por los usuarios en dicha instancia.
Asimismo, la compañía aseguró que dejará de realizar esta práctica de solicitar la contraseña del correo como parte del proceso de verificación.
Lo particular de esta última noticia es que el hecho se conoció dos semanas después de que la compañía liderada por Mark Zuckerberg admitiera que durante años almacenó cientos de millones de contraseñas de usuarios en texto plano de manera insegura en servidores de la compañía que estaban accesibles a más de 20,000 empleados.
