El 3 de abril, investigadores de UpGuard revelaron que servidores utilizados por dos desarrolladores de terceras partes de aplicaciones para Facebook expusieron datos de millones de usuarios que estaban almacenados en servidores de Amazon mal configurados, quedando la información al alcance público.
Uno de estos servidores pertenece al medio digital mexicano Cultura Colectiva, el cual almacenaba 146GB con más de 540 millones de registros que contenían datos como nombres y ID de usuarios, información variada relacionada a gustos e intereses de los usuarios, como “me gusta”, comentarios, entre otras cosas más.
El segundo, también almacenado en un servidor Amazon (Amazon S3 bucket), pertenece a la aplicación “At the Pool” y contiene información como contraseñas en texto plano, además de información de los usuarios, como intereses, amigos, música, entre otros. Según los investigadores, se cree que las contraseñas descubiertas en la base de datos eran de la propia aplicación, pero dado que muchos usuarios utilizan la misma contraseña para otros servicios, la exposición supone un riesgo mayor.
Facebook solicita dirección y contraseña del correo de los usuarios
La otra noticia la dio a conocer el 31 de marzo un especialista en ciberseguridad, conocido como e-sushi, cuando a través de su cuenta de twitter publicó el hallazgo de que Facebook ha estado solicitando a nuevos usuarios que deciden registrase en la red social que ingresen la dirección y la contraseña de su cuenta de correo como parte del proceso de verificación. Si bien esto no es para todos los servicios de correo, el almacenamiento de esta información supone un riesgo para la seguridad de los usuarios.e
De acuerdo a una declaración pública que hizo la red social al medio Daily Beast, la compañía confirmó la existencia de ese proceso de verificación, pero aseguró que no almacena en sus servidores las contraseñas aportadas por los usuarios en dicha instancia.
Asimismo, la compañía aseguró que dejará de realizar esta práctica de solicitar la contraseña del correo como parte del proceso de verificación.
Lo particular de esta última noticia es que el hecho se conoció dos semanas después de que la compañía liderada por Mark Zuckerberg admitiera que durante años almacenó cientos de millones de contraseñas de usuarios en texto plano de manera insegura en servidores de la compañía que estaban accesibles a más de 20,000 empleados.
Fuente: ESET Latinoamérica