Este es una de las newsletters antiguas que se enviaron de forma exclusiva a los miembros del Club Negocios Seguros, y que se liberan públicamente un mes más tarde.

Si quieres recibir las actuales cada martes y jueves en tu bandeja de correo, hazte miembro ahora.

*******

Negocios Seguros

facebook scraping

Últimamente Facebook está que no levanta la cabeza en temas reputacionales.

La semana pasada (bueno, la anterior, que este artículo tuve que atrasarlo una semana), con la caída de todos sus servicios durante horas, de lo cual hablé hasta en televisión, y también del tema que quería charlar hoy contigo: cómo le han «robado» 1.500 millones de datos.

Nuestros datos en internet

Cualquiera diría que el karma se está volviendo en su contra

Entrando en materia, conocíamos estos días que a Zuckerberg le habían vuelvo a pwnear, esta vez con una base de datos de alrededor de 1.500 millones de usuarios de Facebook.

Esta nueva base de datos puesta a la venta incluye nombre, dirección de correo, número de teléfono, ubicación, género, y el ID del usuario. Como explica el sitio Privacy Affairs (EN), que dio a conocer la noticia, quien publicó los datos asegura que la información es nueva, no un refrito de filtrados anteriores.

Hasta aquí, nada nuevo bajo el sol, lamentablemente. Ya es tan habitual que pasen cosas por el estilo, que hasta nos hemos insensibilizado.

Simplemente, a sabiendas de que esto va a seguir ocurriendo, no queda otra que aceptar que todo lo que subamos a Internet puede que acabe en las peores manos. Y con esto en mente, únicamente subir lo que no nos importa que nuestro peor enemigo pueda ver o conocer de nosotros.

Tan sencillo, y triste, como suena.

No pensaba hablar por tanto de este filtrado, pero me ha parecido interesante hacerlo tras enterarme que toda esa información fue recolectada mediante el scraping, lo que significa que no fue producto del compromiso de las cuentas de esos usuarios.

Que nadie ha hackeado a Facebook, o utilizado concursos gancho o APIs previamente aceptadas por los usuarios para robarles la información.

Simplemente, quien esté detrás, se ha dedicado a realizar peticiones públicas a los servicios de Facebook y almacenar esa información, para luego, uniéndola en una sola base de datos, intentar venderla en el mercado negro.

Es exactamente lo que hacemos en CyberBrainers con los análisis de Social Intelligence, con la única diferencia que nosotros lo hacemos para sacar valor comercial y/o académico de los datos (tendencias sociales, entender el pulso informativo ante una noticia…), y en este caso, quien esté detrás tiene fines maliciosos.

Algo que, por otra parte, debería preocuparnos.

A fin de cuentas, si cualquier agente con suficiente tiempo y recursos (los que anden detrás de este ataque aseguran que llevan cuatro años almacenando esos datos) puede obtener con las herramientas públicas que ofrece Facebook (buscador, peticiones a su API, etc) datos tan privados como el email o el número de teléfono, asociándolos al ID del usuario, ¿hasta qué punto no es un problema de diseño de Facebook, y por tanto es culpable la empresa de ello?

Es decir, ¿dónde ponemos los límites entre algo que claramente fue inevitable, como quizás puede ocurrir con la explotación de un 0-day que comprometa la infraestructura de una empresa, y la simple dejadez de una compañía que claramente podría tener una de las mejores herramientas seguras del planeta, y que día tras día acapara portadas por supuestos errores de diseño?

Que mira, justo estos días en la gestoría que tengo en CyberBrainers me dieron acceso a su sistema de compartición de archivos en la nube. Ya sabes, un espacio, a priori para cada empresa, en la que podemos ir subiendo las facturas y gastos mensuales para que el gestor que tengamos asociado pueda hacer su trabajo.

El tema es que me dieron acceso con un usuario que es el nombre de mi empresa, y una contraseña que es el CIF. Es decir, dos datos que son públicos, y que por tanto permitirían a cualquiera que haga una búsqueda rápida en Google acceder al espacio donde a priori tengo que subir temas fiscales.

¡Viva la seguridad!

Pero no solo eso, sino que revisando la herramienta, en apenas un par de minutos ya tenía permisos de administrador, y por tanto, podía acceder a todo el listado de clientes que tienen en la gestoría, y además, cambiarles si quería la contraseña.

Es decir, que tenía acceso a cualquier intranet de cualquiera de sus clientes, y podía hasta quitarles el acceso a ellos si así lo quisiera.

Sobra decir que les avisé y les expliqué cómo solventar ese error, que a priori ya han parcheado.

Pero vaya, que hablamos de una gestoría de barrio, no una multinacional cuyo negocio principal es precisamente servicios digitales.

¿Son culpables si el día de mañana hay una fuga de información que compromete los datos de todos sus clientes? Pues sí.

Pero más culpable me parece que esto le ocurra a una empresa con los recursos y el conocimiento digital que tiene Facebook, sinceramente…

________

Si quieres recibir contenido exclusivo como éste el día uno y directamente en tu bandeja de correo cada martes y jueves, hazte miembro del Club «NEGOCIOS SEGUROS».

Banner negocios seguros