540 millones de registros de usuarios de Facebook expuestos en servidores mal configurados

Servidores utilizados por dos desarrolladores de terceras partes de aplicaciones para Facebook expusieron datos de millones de usuarios.

El 3 de abril, investigadores de UpGuard聽revelaron que servidores utilizados por dos desarrolladores de terceras partes de aplicaciones para Facebook expusieron datos de millones de usuarios que estaban almacenados en servidores de Amazon mal configurados, quedando la informaci贸n al alcance p煤blico.

Uno de estos servidores pertenece al medio digital mexicano Cultura Colectiva, el cual almacenaba 146GB  con m谩s de 540 millones de registros que conten铆an datos como nombres y ID de usuarios, informaci贸n variada relacionada a gustos e intereses de los usuarios, como 鈥渕e gusta鈥, comentarios, entre otras cosas m谩s.

El segundo, tambi茅n almacenado en un servidor Amazon (Amazon S3 bucket), pertenece a la aplicaci贸n 鈥淎t the Pool鈥 y contiene informaci贸n como contrase帽as en texto plano, adem谩s de informaci贸n de los usuarios, como intereses, amigos, m煤sica, entre otros. Seg煤n los investigadores, se cree que las contrase帽as descubiertas en la base de datos eran de la propia aplicaci贸n, pero dado que muchos usuarios utilizan la misma contrase帽a para otros servicios, la exposici贸n supone un riesgo mayor.

Facebook solicita direcci贸n y contrase帽a del correo de los usuarios

La otra noticia la dio a conocer el 31 de marzo un especialista en ciberseguridad, conocido como聽e-sushi, cuando a trav茅s de su cuenta de twitter public贸 el hallazgo de que Facebook ha estado solicitando a nuevos usuarios que deciden registrase en la red social que ingresen la direcci贸n y la contrase帽a de su cuenta de correo como parte del proceso de verificaci贸n. Si bien esto no es para todos los servicios de correo, el almacenamiento de esta informaci贸n supone un riesgo para la seguridad de los usuarios.e

De acuerdo a una declaraci贸n p煤blica que hizo la red social al medio Daily Beast, la compa帽铆a confirm贸 la existencia de ese proceso de verificaci贸n, pero asegur贸 que no almacena en sus servidores las contrase帽as aportadas por los usuarios en dicha instancia.

Asimismo, la compa帽铆a asegur贸 que dejar谩 de realizar esta pr谩ctica de solicitar la contrase帽a del correo como parte del proceso de verificaci贸n.

Lo particular de esta 煤ltima noticia es que el hecho se conoci贸 dos semanas despu茅s de que la compa帽铆a liderada por Mark Zuckerberg admitiera que durante a帽os聽almacen贸 cientos de millones de contrase帽as de usuarios en texto plano de manera insegura聽en servidores de la compa帽铆a que estaban accesibles a m谩s de 20,000 empleados.

Fuente: ESET Latinoam茅rica



Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.