El principal regulador de protección de datos de Facebook en la Unión Europea está buscando respuestas del gigante tecnológico sobre una importante violación de datos reportada durante el fin de semana.
La violación fue reportada por Business Insider el sábado, que dijo que los datos personales (incluidas las direcciones de correo electrónico y los números de teléfono móvil) de más de 500 millones de cuentas de Facebook se habían publicado en un foro de piratería de bajo nivel, lo que hace que la información personal esté en cientos de millones de Las cuentas de los usuarios de Facebook están disponibles gratuitamente.
“Los datos expuestos incluyen la información personal de más de 533 millones de usuarios de Facebook de 106 países, incluidos más de 32 millones de registros de usuarios en los EE. UU., 11 millones de usuarios en el Reino Unido y 6 millones de usuarios en la India”, dijo Business Insider, y señaló que el volcado incluye números de teléfono, ID de Facebook, nombres completos, ubicaciones, fechas de nacimiento, biografías y algunas direcciones de correo electrónico.
Facebook respondió al informe del volcado de datos diciendo que estaba relacionado con una vulnerabilidad en su plataforma que había “encontrado y arreglado” en agosto de 2019, y denominó la información como “datos antiguos” que también afirmó que se habían informado en 2019. Sin embargo, como seguridad los expertos fueron rápido para señalar, la mayoría de las personas no cambian su número de teléfono móvil con frecuencia, por lo que la reacción desencadenante de Facebook para minimizar la violación parece un intento mal pensado para desviar la culpa.
Tampoco está claro si todos los datos son “antiguos”, como sugiere la respuesta inicial de Facebook.
Hay muchas razones para que Facebook intente restar importancia a otro escándalo de datos. Sobre todo porque, según las normas de protección de datos de la Unión Europea, existen severas sanciones para las empresas que no informan de inmediato a las autoridades pertinentes sobre infracciones importantes. Y, de hecho, para las infracciones en sí mismas, ya que el Reglamento General de Protección de Datos (GDPR) del bloque se basa en una expectativa de seguridad por diseño y por defecto.
Al impulsar la afirmación de que los datos filtrados son “antiguos”, Facebook puede estar esperando vender la idea de que es anterior a la entrada en vigor del RGPD (en mayo de 2018).
Sin embargo, la Comisión de Protección de Datos de Irlanda (DPC), el supervisor principal de datos de Facebook en la UE, le dijo a TechCrunch que no está muy claro si ese es el caso en este momento.
“El conjunto de datos recientemente publicado parece comprender el conjunto de datos original de 2018 (anterior al RGPD) y combinado con registros adicionales, que pueden ser de un período posterior”, dijo el comisionado adjunto del DPC, Graham Doyle, en un comunicado.
“Un número significativo de usuarios son usuarios de la UE. Gran parte de los datos parecen haber sido extraídos hace algún tiempo de los perfiles públicos de Facebook ”, dijo también.
“Los conjuntos de datos anteriores se publicaron en 2019 y 2018 en relación con un raspado a gran escala del sitio web de Facebook que, en el momento en que Facebook informó, ocurrió entre junio de 2017 y abril de 2018 cuando Facebook cerró una vulnerabilidad en su funcionalidad de búsqueda de teléfonos. Debido a que el raspado tuvo lugar antes de GDPR, Facebook decidió no notificar esto como una violación de datos personales bajo GDPR “.
Doyle dijo que el regulador trató de establecer “los hechos completos” sobre la violación de Facebook durante el fin de semana y “continúa haciéndolo”, dejando en claro que existe una falta de claridad continua sobre el tema, a pesar de que la violación en sí se alega como “Viejo” por Facebook.
El DPC también dejó en claro que no recibió ninguna comunicación proactiva de Facebook sobre el tema, a pesar de que el RGPD impone a las empresas la responsabilidad de informar proactivamente a los reguladores sobre problemas importantes de protección de datos. Más bien, el regulador tuvo que acercarse a Facebook, utilizando varios canales para tratar de obtener respuestas del gigante tecnológico.
A través de este enfoque, el DPC dijo que se enteró de que Facebook cree que la información fue extraída antes de los cambios que realizó en su plataforma en 2018 y 2019 a la luz de las vulnerabilidades identificadas a raíz del escándalo de uso indebido de datos de Cambridge Analytica.
Una enorme base de datos de números de teléfono de Facebook se encontró desprotegida en línea en septiembre de 2019.
Facebook también había admitido anteriormente una vulnerabilidad con una herramienta de búsqueda que ofrecía, revelando en abril de 2018 que en algún lugar entre mil millones y 2 mil millones de usuarios se había raspado su información pública de Facebook a través de una función que permitía a las personas buscar usuarios ingresando un número de teléfono. o correo electrónico, que es una fuente potencial de caché de datos personales.
El año pasado, Facebook también presentó una demanda contra dos empresas a las que acusó de participar en una operación internacional de raspado de datos.
Pero las consecuencias de sus malas elecciones de diseño de seguridad continúan persiguiendo a Facebook años después de su “solución”.
Más importante aún, las consecuencias del derrame masivo de datos personales continúan afectando a los usuarios de Facebook cuya información ahora se ofrece abiertamente para su descarga en Internet, lo que los expone al riesgo de ataques de spam y phishing y otras formas de ingeniería social (como para intento de robo de identidad).
Todavía hay más preguntas que respuestas sobre cómo este “antiguo” caché de datos de Facebook llegó a publicarse en línea de forma gratuita en un foro de piratas informáticos.
El DPC dijo que Facebook le dijo que “los datos en cuestión parecen haber sido recopilados por terceros y potencialmente provienen de múltiples fuentes”.
La compañía también afirmó que el asunto “requiere una investigación exhaustiva para establecer su procedencia con un nivel de confianza suficiente para proporcionar a su oficina ya nuestros usuarios información adicional”, lo que sugiere que Facebook tampoco tiene idea.
“Facebook asegura al DPC que está dando la máxima prioridad a proporcionar respuestas firmes al DPC”, dijo Doyle también. “Un porcentaje de los registros publicados en el sitio web de los piratas informáticos contienen números de teléfono y direcciones de correo electrónico de los usuarios.
“Surgen riesgos para los usuarios a los que se les puede enviar spam con fines de marketing, pero igualmente los usuarios deben estar atentos a cualquier servicio que utilicen que requiera autenticación mediante el número de teléfono o la dirección de correo electrónico de una persona en caso de que terceros intenten obtener acceso”.
“El DPC comunicará más hechos a medida que reciba información de Facebook”, agregó.
Al momento de escribir este artículo, Facebook no había respondido a una solicitud de comentarios sobre la violación.
Los usuarios de Facebook que estén preocupados por si su información está en el basurero pueden realizar una búsqueda de su número de teléfono o dirección de correo electrónico a través del sitio de advertencia de violación de datos, haveibeenpwned.
Según Troy Hunt de haveibeenpwned, este último volcado de datos de Facebook contiene muchos más números de teléfonos móviles que direcciones de correo electrónico.
Escribe que se le enviaron los datos hace unas semanas; inicialmente obtuvo 370 millones de registros y luego “el corpus más grande que ahora está en muy amplia circulación ”.
“Mucho es lo mismo, pero también es diferente”, señala Hunt, y agrega: “No hay una fuente clara de estos datos”.