No ha pasado ni un mes desde la última gran filtración de datos de Facebook, incluyendo los números de teléfono de millones de usuarios, y ahora nos encontramos ante otro posible escándalo de privacidad relacionado con la red social.
Un investigador de seguridad ha descubierto la existencia de una herramienta, llamada Facebook Email Search 1.0, capaz de obtener los correos electrónicos de los usuarios; lo más chocante es que eso es posible incluso si ese dato se ha hecho privado.
Esta aplicación es lo que se conoce como un “scrapper”, que técnicamente no ‘hackea’ la red social sino que obtiene datos en masa que están disponibles de manera pública; es el mismo método usado para obtener la gigantesca base de datos de números de teléfono de Facebook.
Correos usados en Facebook
La herramienta funciona comprobando las direcciones de correo introducidas en un campo de texto, indicando las cuentas de Facebook asociadas con esa dirección. La app es capaz de asociar hasta cinco millones de cuentas diarias de esta manera.
Todo el proceso está automatizado, así que un atacante puede simplemente dejar la app funcionando durante todo el día y obtener direcciones de correo que sabe que son de usuarios reales de Facebook.
Obtener direcciones de correo para comprobar es muy sencillo; hay constantes filtraciones de datos de todo tipo de servicios, que incluyen las direcciones usadas para crear la cuenta. Con esta herramienta, un atacante puede saber qué cuenta de Facebook está asociada a esa dirección, usar esa información para atacar a la persona, contactar con ella por correo o realizar ataques de ‘phishing’.
Facebook no lo consideró importante
La existencia de una herramienta semejante no es sorprendente; lo que realmente ha provocado que el investigador se extrañe es que esta herramienta funciona incluso si el usuario ha marcado su correo electrónico como privado en Facebook.
Eso apunta a un error en la red social, que hace que datos privados puedan ser accedidos por el público. Sin embargo, inicialmente Facebook no consideró que eso fuese un problema; según contó a Ars Technica el propio investigador, la respuesta de la compañía cuando presentó los resultados es que el fallo no era “lo suficientemente importante como para ser arreglado”.
Esto encaja con la reciente política de Facebook de ignorar y quitar importancia a este tipo de filtraciones de datos, afirmando que son comunes en el sector y que no son técnicamente “ataques hacker”, ya que la información ya era pública. Es por eso que Facebook decidió no avisar a los usuarios afectados por la filtración de números de teléfono, sólo recordando en una publicación de su blog que pueden hacer ese dato privado.
Pero, ¿qué pasa si marcamos un dato como privado y aún así se filtra? Eso es lo que ha ocurrido aquí, y sólo después de que el investigador haya hecho público su descubrimiento, Facebook ha cambiado de opinión.
Ahora la compañía reconoce que cerró el reporte del bug de “manera errónea”, antes de enviarlo al equipo apropiado para solucionarlo. En respuesta a la publicación de la investigación, afirma que ya ha implementado medidas para mitigar la filtración de datos demostrada, mientras investiga qué es lo que ha ocurrido.