Un bombazo acaba de salir a la luz, pues una firma de seguridad llamada UpGuard encontró 540 millones de registros de Facebook sin proteger, a la vista de cualquier persona en un servidor de una web mexicana llamada Cultura Colectiva.

El tamaño de la base de datos se encontraba alojada en Amazon y pesaba 146 GB con información de usuarios de Facebook como comentarios, me gusta, reacciones, nombres de usuario, ID’s de usuario, etc. También la firma encontró una segunda base de datos en una app de terceros integrada en Facebook llamada At The Pool, que había dejado de funcionar en 2014. En ella encontraron 22 mil contraseñas en texto plano, a la vista de cualquiera.

Imagen: UpGuard

Ambas base de datos se almacenaron en buckets sin contraseña en Amazon S3 con la opción de descarga de archivos habilitada. La firma de seguridad contactó a Cultura Colectiva en dos ocasiones en enero pasado, sin embargo, la plataforma no dio respuesta. Más tarde, se puso en contacto con Amazon para avisarles sobre la existencia de esas bases de datos, sin embargo, Amazon sólo les dijo que ya le había avisado al cliente de la exposición de la información. Fue hasta hoy que se publicó la noticia que la empresa tecnológica aseguró la información o la eliminó. Tal vez demasiado tarde.

Para entender un poco más lo delicado de la situación, explicamos a grandes rasgos lo que pasó. Facebook le vende a empresas la información de sus usuarios para que sus clientes -como Cultura Colectiva- analicen esos datos y elaboren un programa que les permita saber cuáles de sus contenidos les generarán mayor interacción entre sus usuarios, que finalmente se traducirán en más likes, más tráfico, etc. En este caso, Cultura Colectiva subió la información a un servidor externo sin ninguna medida de seguridad, exponiendo de forma alarmante información de millones de personas.

Imagen: UpGuard

Por su parte, Facebook explicó en un comunicado que los términos de la compañía prohíben a los desarrolladores almacenar este tipo de información.

“Las políticas de Facebook prohíben almacenar información de Facebook en una base de datos pública. Una vez alertados sobre el problema, trabajamos con Amazon para eliminar las bases de datos. Estamos comprometidos a trabajar con los desarrolladores en nuestra plataforma para proteger los datos de las personas”.

A partir de hoy los datos ya no están disponibles, pero lo estuvieron por meses y cualquiera pudo descargar toda esa información para hacer análisis de datos de los datos de los usuarios de Facebook, así como obtener sus contraseñas.

Resulta increíble que Facebook haya expresado su deseo de enfocar sus redes sociales incluidas Instagram y WhatsApp hacia la privacidad y por otro lado deja que sus clientes hagan lo que quieran con los datos de sus usuarios que les vende.

–Actualización–

Cultura Colectiva responde

En un comunicado publicado en su fanpage de Facebook, la empresa expresó que la información expuesta es de dominio público y que por eso la dejó así sin proteger. Son datos públicos, no contraseñas o datos sensibles del usuario y cualquiera los puede juntar, sin embargo, toman nota y reforzarán sus medidas de seguridad.

Fans inconformes

Con información de Gizmodo | UpGuard