Servidores
utilizados por dos desarrolladores de terceras partes de aplicaciones para
Facebook expusieron datos de millones de usuarios.
El 3 de abril, investigadores de
UpGuard revelaron que servidores utilizados por dos desarrolladores de terceras
partes de aplicaciones para Facebook expusieron datos de millones de usuarios
que estaban almacenados en servidores de Amazon mal configurados, quedando la
información al alcance público.
Uno de estos servidores pertenece al
medio digital mexicano Cultura Colectiva, el cual almacenaba 146GB con más de 540 millones de registros que
contenían datos como nombres y ID de usuarios, información variada relacionada
a gustos e intereses de los usuarios, como “me gusta”, comentarios, entre otras
cosas más.
El segundo, también almacenado en un
servidor Amazon (Amazon S3 bucket), pertenece a la aplicación “At the Pool” y
contiene información como contraseñas en texto plano, además de información de
los usuarios, como intereses, amigos, música, entre otros. Según los investigadores,
se cree que las contraseñas descubiertas en la base de datos eran de la propia
aplicación, pero dado que muchos usuarios utilizan la misma contraseña para
otros servicios, la exposición supone un riesgo mayor.
Facebook
solicita dirección y contraseña del correo de los usuarios
La otra noticia la dio a conocer el 31
de marzo un especialista en ciberseguridad, conocido como e-sushi, cuando a
través de su cuenta de twitter publicó el hallazgo de que Facebook ha estado
solicitando a nuevos usuarios que deciden registrase en la red social que
ingresen la dirección y la contraseña de su cuenta de correo como parte del
proceso de verificación. Si bien esto no es para todos los servicios de correo,
el almacenamiento de esta información supone un riesgo para la seguridad de los
usuarios.e
De acuerdo a una declaración pública
que hizo la red social al medio Daily Beast, la compañía confirmó la existencia
de ese proceso de verificación, pero aseguró que no almacena en sus servidores
las contraseñas aportadas por los usuarios en dicha instancia.
Asimismo, la compañía aseguró que
dejará de realizar esta práctica de solicitar la contraseña del correo como
parte del proceso de verificación.
Lo particular de esta última noticia
es que el hecho se conoció dos semanas después de que la compañía liderada por
Mark Zuckerberg admitiera que durante años almacenó cientos de millones de
contraseñas de usuarios en texto plano de manera insegura en servidores de la
compañía que estaban accesibles a más de 20,000 empleados.
Fuente: ESET Latinoamérica
