La compañía mexicana de medios digitales Cultura Colectiva dejó expuesta públicamente una base de datos con más de 540 millones de registros de comentarios, “me gusta”, reacciones y cuentas de usuario de Facebook, reportó el sitio UpGuard.. Luego del hallazgo, la empresa de Zuckerberg contactó a Amazon para que borraran los datos manejados en México.
UpGuard, una firma de seguridad informática, dio a conocer que Cultura Colectiva, uno de los medios digitales mexicanos más relevantes, no resguardó datos de usuarios de Facebook que había recolectado.
“La información, en texto plano, pesa al rededor de 146 gigabites y contiene más de 540 millones de datos, detallando comentarios, likes, reacciones, nombres de las cuentas, FB IDs y más” explicó la firma de ciberseguridad en un reporte.
Losing Face: Two More Cases of Third-Party Facebook App Data Exposure
En un comunicado, la firma de soluciones de ciberseguridad detalló dos nuevos casos de exposición de datos de la red social creada por Mark Zuckerberg, por medio de aplicaciones desarrolladas por terceros. Además de Cultura Colectiva, dio a conocer el caso del servicio At the Pool, una app californiana integrada a Facebook que desapareció en 2014 y que, incluso, llegó a exponer unas 22 mil contraseñas en texto legible.
En ambos casos, las bases de datos fueron guardadas en sus respectivos depósitos del servicio de almacenamiento simple en “nube” de la empresa Amazon, configurados para permitir la descarga pública de archivos sin necesidad de contraseña.
De acuerdo con UpGuard, ambos conjuntos de datos contienen información sobre los usuarios de Facebook, describiendo sus intereses, relaciones e interacciones, la cual estaba disponible para desarrolladores externos.
“A medida que Facebook se enfrenta al escrutinio de sus prácticas de administración de datos, han hecho esfuerzos para reducir el acceso de terceros. Pero, como muestran estas exposiciones, el genio de los datos no puede volver a colocarse en la botella.
“Los datos sobre los usuarios de Facebook se han extendido mucho más allá de lo que Facebook puede controlar hoy. Combine esa plenitud de datos personales con tecnologías de almacenamiento que a menudo están mal configuradas para el acceso público, y el resultado es una gran cantidad de datos sobre los usuarios de Facebook que continúa filtrándose”, alertó UpGuard.
La firma de seguridad afirma que envió el 10 y el 14 de enero dos correos electrónicos a Cultura Colectiva para alertarlos de la situación, sin que les dieran respuesta.
New report from UpGuard: https://t.co/4ly2eirc6E
— UpGuard (@UpGuard) April 3, 2019
El día 28 de ese mes avisó a Amazon S3 (como se conoce al servicio de nube de la firma creada por Jeff Bezos), la cual aseguró que los propietarios del depósito digital tenían conocimiento del riesgo. Sin embargo, se llegó al día 21 de febrero y los datos seguían expuestos. Amazon dijo que buscaría formas potenciales de manejar la situación.
El problema fue atendido a partir del 3 de abril y fue a consecuencia de una solicitud que hizo la agencia Bloomberg a Facebook para que comentara sobre la situación. Finalmente fue asegurada la copia de seguridad, que estaba dentro de un grupo de almacenamiento de Amazon S3 titulado “cc-datalake”.
En contraste, los datos expuestos en At the Pool fueron resueltos incluso antes de que les enviara la notificación, destacó UpGuard.
Un vocero de Facebook informó al portal Techcrunch que ordenaron dejar fuera de línea la información almacenada en Amazon porque sus políticas internas les prohíben tener información de la red social en bases de datos públicas.
En sus conclusiones, el análisis de UpGuard resume el problema que lleva implícita la recopilación masiva de información: los datos no desaparecen de forma natural, y es posible que una ubicación de almacenamiento abandonada no reciba la atención que se requiere.
“Para los desarrolladores de aplicaciones en Facebook, parte del atractivo de la plataforma es el acceso a una parte de los datos generados por y sobre los usuarios de Facebook. Para Cultura Colectiva, los datos sobre las respuestas a cada publicación les permiten ajustar un algoritmo para predecir qué contenido futuro generará la mayor cantidad de tráfico.
“Los datos expuestos en cada uno de estos conjuntos no existirían sin Facebook, pero estos conjuntos de datos ya no están bajo el control de Facebook. En cada caso, la plataforma de Facebook facilitó la recopilación de datos sobre personas y su transferencia a terceros, quienes se hicieron responsables de su seguridad.
“El área de superficie para proteger los datos de los usuarios de Facebook es, por lo tanto, vasta y heterogénea, y la responsabilidad de protegerla es de millones de desarrolladores de aplicaciones que han construido en su plataforma”, concluye el análisis de UpGuard.
Greg Pollock, directivo de esa firma, declaró de acuerdo con una nota de The Washington Post: “no sé si Facebook puede limpiar el desorden que han hecho. Es como un derrame de petróleo”.
Respuesta de Cultura Colectiva
En un comunicado, Cultura Colectiva sostuvo que entre las 540 millones de interacciones expuestas de sus bases de datos “no se incluía información privada o confidencial, como correos electrónicos o contraseñas”, pues no tienen acceso a ese tipo de información.
Cultura Colectiva informa: pic.twitter.com/1EaDvDvID5
— Cultura Colectiva (@CulturaColectiv) April 3, 2019
Señaló que la información que obtiene de las fanpages es pública, no sensible, que cualquier usuario de Facebook puede ver y que utiliza para mejorar la experiencia de quienes consultan su página web.
Fuente: Apro/ Forbes