Facebook sigue viéndose involucrada en todo tipo de escándalos de seguridad. Hace unas semanas, más de 530 millones de datos de usuarios de la plataforma se hicieron públicos, incluyendo los números de teléfono de 11 millones de personas en España, asociados a datos como nombre completo o lugar de trabajo. Ahora, cuando apenas están recuperándose, parece ser que hay otra filtración.
Este martes, un investigador de ciberseguridad publicó un vídeo mostrando una herramienta llamada Facebook Email Search v1.0, con la cual se puede descubrir cualquier cuenta de Facebook asociada a un email. Lo único que hace falta es meter la dirección de correo, y nos devolverá su cuenta de Facebook.
Conoce la cuenta de Facebook de una persona con sólo su email
El fallo está todavía en activo en Facebook, y el investigador ha decidido publicarlo después de que Facebook afirmase que la vulnerabilidad no era importante y no merecía la pena ni siquiera arreglarla. Tras la publicación del vídeo, la compañía ha reconocido que parece que «cerraron la investigación prematuramente por error antes de asignarla al equipo apropiado». Tras ello, afirman que están trabajando para solucionar la vulnerabilidad que aparece en el vídeo, el cual no ha sido publicado para evitar que el ataque se replique.
A principios de año, Facebook arregló una vulnerabilidad con un mecanismo idéntico al de esta, pero en este segundo caso decidieron no arreglarla. El fallo reside en el front-end de la plataforma, pero no han dado más detalles al respecto. El investigador ha probado la herramienta con éxito, la cual se está distribuyendo ahora entre las diferentes comunidades de hackeo. Entre los usos que se están haciendo está espiar de grupos de Facebook intentando tomar el control de las cuentas con emails de phishing, así como de cuentas de anuncios de Facebook para obtener dinero.
Es posible asociar 5 millones de cuentas a correos cada día
El investigador compró 250 cuentas de Facebook recién registradas por 10 dólares, y pudo comprobar cómo, introduciendo 65.000 emails, obtenía resultados para una gran parte de ellos. Según ha calculado, es posible hacer esto para 5 millones de cuentas de correo al día.
Facebook ha hecho hincapié en los últimos años en diferenciar entre técnicas de scraping y hackeos como tal. El scraping es algo que han permitido durante años, donde mediante su API era posible recopilar datos públicos y no tan públicos de los perfiles de los usuarios, como nombre, gustos, preferencias, etc. A través de vulnerabilidades se ha podido conocer el número de teléfono, y en este caso ha sido posible conocer también las cuentas asociadas a cada email. Por ello, no se trata de scraping, sino de vulnerabilidades con todas sus letras.
El medio DataNews tuvo acceso a un email interno de Facebook, en el cual la compañía comunicaba a sus empleados que esperan que en el futuro haya nuevos casos polémicos relacionados con el uso de técnicas de scraping. Y sin duda esta vulnerabilidad va a dar pie a la creación de nuevas bases de datos. Si no usas tu cuenta, puede que sea un buen momento para darse de baja de Facebook.
Así, con este fallo ahora es posible descubrir qué cuentas de Facebook hay asociadas a cada email. Si estos datos los unimos con la filtración de hace unas semanas, ahora es posible conocer el email, nombre completo y teléfono de una persona, así como su correspondiente ID de cuenta.