Escrito por Enrique Dans
Una enorme base de datos con los números de teléfono de 419 millones de usuarios de Facebook aparece en la red completamente desprotegida, sin contraseña de ningún tipo e inmediatamente accesible por cualquiera, demostrando por enésima vez la brutal irresponsabilidad de la compañía. Aparentemente, cuando Facebook se dedicó a recopilar los números de teléfono de sus usuarios y decidió que se podrían hacer búsquedas por ellos, una serie de actores se dedicaron a lanzar sistemáticamente búsquedas de números aleatorios y recopilarlas, algo que Facebook simplemente tardó muchísimo tiempo en impedir, a pesar de que una mínima auditoría del uso de sus sistemas habría hecho ese mal uso completamente evidente para ellos. Todavía no está disponible una herramienta que permita comprobar si tu teléfono está entre los hechos públicos, pero probablemente lo estará en breve. En la base de datos aparece el ID de Facebook de los usuarios y el número de teléfono que han asociado a su cuenta, lo que permite acceder a su perfil y obtener datos adicionales que podrían hipotéticamente ser utilizados como parte de esquemas de ingeniería social para todo tipo de fines.
¿Qué alega Facebook? Simplemente, «que no fueron ellos». Como si una excusa así sirviese para eximir de responsabilidad a quien posee una plataforma y permite, de manera completamente irresponsable, que sea explotada para algo así. En un momento en el que el SIM swap, consistente en convencer a tu proveedor de telefonía para que cambie tu número de teléfono a una tarjeta SIM de su propiedad, se ha convertido en una amenaza cada vez más habitual, va Facebook y permite que se extraigan de su plataforma nada menos que los números de 419 millones de sus usuarios. En muchos casos, un SIM swap se lleva a cabo para poder obtener el segundo factor de autenticación en el acceso a una cuenta desde un nuevo dispositivo, para cambios de contraseña o para otras cuestiones relacionadas con la seguridad. Decididamente, no un problema que queramos tener, y que puede ser la base que posibilite otro tipo de ataques, como el recientemente experimentado por Jack Dorsey, CEO de Twitter. Además, los números de teléfono tienen un nivel de criticidad mayor, dado que, en muchos casos, permanecen bastante tiempo vinculados al usuario, lo que quita validez a la primera línea de defensa utilizada por la compañía, que ha sido simplemente decir que «los datos eran antiguos». Además, permitir la recolección de semejante cantidad de números de teléfono incrementa la probabilidad de que esos usuarios se vean sometidos a mayores niveles de spam telefónico con total impunidad.
Es un caso más de total irresponsabilidad en la gestión de una plataforma. Lo mínimo que hay que exigir a una compañía que comercia con los datos de sus usuarios es que trate estos datos con un mínimo de responsabilidad. En lugar de esto, la impresión es que en Facebook, cualquiera puede tomar los datos que le dé la gana, incluidas contraseñas, copiarlos en un servidor cualquiera sin ningún tipo de protección, y olvidárselos ahí tranquilamente hasta que alguien más los encuentra, o permitir alegremente que cualquier socio o cualquier actor con malas intenciones del que no se ha verificado prácticamente nada los recopile, se los lleve y los comprometa, o los utilice para fines siniestros de todo tipo. Obviamente, tras ya demasiados casos que demuestran fehacientemente que las prácticas de seguridad internas de Facebook son un maldito e impresentable desastre, queda claro que simplemente multar a la compañía, aunque sea con cinco mil millones de dólares, no es una solución.
Facebook se ha convertido en un verdadero problema, en la verdadera definición de lo que el social media nunca debería haber llegado a ser. No es ya una cuestión de multas o de sanciones, el problema no se corrige así. Es una cuestión de cultura de seguridad, o de ausencia de la misma. Es el resultado de trabajar con los datos de los usuarios como si esos usuarios fuesen simplemente materia prima, un simple producto que se empaqueta para venderlo. El problema de la reiteración constante de este tipo de noticias es que nos llevan a creer que son «lo normal», algo habitual y supuestamente inevitable, parte del panorama. Pero no, no tiene que ser así. No debería ser así. Cuando los problemas de seguridad se suceden de manera constante, uno detrás de otro, y la compañía no hace nada más que disculparse (tras intentar escaquearse previamente de su responsabilidad), es que estamos hablando de un problema tan fuertemente imbricado en la cultura de esa compañía, que muy posiblemente no tenga solución.
[Fuente: www.enriquedans.com]
Sem comentários:
Enviar um comentário