El principal regulador de protección de datos de Facebook en la Unión Europea está buscando respuestas del gigante tecnológico sobre una importante violación de datos reportada durante el fin de semana.
La infracción fue denunciada por Business Insider el sábado, que dijo que los datos personales (incluidas las direcciones de correo electrónico y los números de teléfono móvil) de más de 500 millones de cuentas de Facebook se habían publicado en un foro de piratería de bajo nivel, lo que hace que la información personal de cientos de millones de cuentas de usuarios de Facebook esté disponible gratuitamente.
“Los datos expuestos incluyen la información personal de más de 533 millones de usuarios de Facebook de 106 países, incluidos más de 32 millones de registros de usuarios en los EE. UU., 11 millones de usuarios en el Reino Unido y 6 millones de usuarios en la India”, dijo Business Insider, y señaló que el volcado incluye números de teléfono, ID de Facebook, nombres completos, ubicaciones, fechas de nacimiento, biografías y algunas direcciones de correo electrónico.
Facebook respondió al informe del volcado de datos diciendo que estaba relacionado con una vulnerabilidad en su plataforma que había “encontrado y arreglado” en agosto de 2019, y denominó la información como “datos antiguos” que también afirmó que se habían informado en 2019. Sin embargo, como seguridad los expertos fueron rápido para señalar, la mayoría de las personas no cambian su número de teléfono móvil con frecuencia, por lo que la reacción desencadenante de Facebook para minimizar la violación parece un intento mal pensado para desviar la culpa.
Tampoco está claro si todos los datos son “antiguos”, como sugiere la respuesta inicial de Facebook.
Hay muchas razones para que Facebook intente restar importancia a otro escándalo de datos. Sobre todo porque, según las normas de protección de datos de la Unión Europea, existen severas sanciones para las empresas que no informan de inmediato a las autoridades pertinentes sobre infracciones importantes. Y, de hecho, para las infracciones en sí mismas, ya que el Reglamento General de Protección de Datos (GDPR) del bloque se basa en una expectativa de seguridad por diseño y por defecto.
Al impulsar la afirmación de que los datos filtrados son “antiguos”, Facebook puede estar esperando vender la idea de que es anterior a la entrada en vigor del RGPD (en mayo de 2018).
Sin embargo, la Comisión de Protección de Datos de Irlanda (DPC), el supervisor principal de datos de Facebook en la UE, le dijo a TechCrunch que no está muy claro si ese es el caso en este momento.
“El conjunto de datos recientemente publicado parece comprender el conjunto de datos original de 2018 (anterior al RGPD) y combinado con registros adicionales, que pueden ser de un período posterior”, dijo el comisionado adjunto del DPC, Graham Doyle, en un comunicado.
“Un número significativo de usuarios son usuarios de la UE. Gran parte de los datos parecen haber sido extraídos hace algún tiempo de los perfiles públicos de Facebook ”, dijo también.
“Los conjuntos de datos anteriores se publicaron en 2019 y 2018 relacionados con un raspado a gran escala del sitio web de Facebook que, en el momento en que Facebook informó, ocurrió entre junio de 2017 y abril de 2018 cuando Facebook cerró una vulnerabilidad en su funcionalidad de búsqueda de teléfonos. Debido a que el raspado tuvo lugar antes de GDPR, Facebook decidió no notificar esto como una violación de datos personales bajo GDPR “.
Doyle dijo que el regulador trató de establecer “los hechos completos” sobre la violación de Facebook durante el fin de semana y “continúa haciéndolo”, dejando en claro que existe una falta continua de claridad sobre el tema, a pesar de que la violación en sí se alega como “Viejo” por Facebook.
El DPC también dejó en claro que no recibió ninguna comunicación proactiva de Facebook sobre el tema, a pesar de que el GDPR impone a las empresas la responsabilidad de informar proactivamente a los reguladores sobre problemas importantes de protección de datos. Más bien, el regulador tuvo que acercarse a Facebook, utilizando varios canales para tratar de obtener respuestas del gigante tecnológico.
A través de este enfoque, el DPC dijo que se enteró de que Facebook cree que la información fue extraída antes de los cambios que realizó en su plataforma en 2018 y 2019 a la luz de las vulnerabilidades identificadas a raíz del escándalo de uso indebido de datos de Cambridge Analytica.
Una enorme base de datos de números de teléfono de Facebook se encontró desprotegida en línea en septiembre de 2019.
Facebook también había admitido anteriormente una vulnerabilidad con una herramienta de búsqueda que ofrecía, revelando en Abril de 2018 que en algún lugar entre mil y dos mil millones de usuarios se había extraído su información pública de Facebook a través de una función que permitía a las personas buscar usuarios ingresando un número de teléfono o correo electrónico, que es una fuente potencial para el caché de datos personales.
El año pasado, Facebook también presentó una demanda contra dos empresas a las que acusó de participar en una operación internacional de raspado de datos.
Pero las consecuencias de sus malas elecciones de diseño de seguridad continúan persiguiendo a Facebook años después de su ‘solución’.
Más importante aún, las consecuencias del derrame masivo de datos personales continúan afectando a los usuarios de Facebook cuya información ahora se ofrece abiertamente para su descarga en Internet, lo que los expone al riesgo de ataques de spam y phishing y otras formas de ingeniería social (como para intento de robo de identidad).
Todavía hay más preguntas que respuestas sobre cómo este “antiguo” caché de datos de Facebook llegó a publicarse en línea de forma gratuita en un foro de piratas informáticos.
El DPC dijo que Facebook le dijo que “los datos en cuestión parecen haber sido recopilados por terceros y potencialmente provienen de múltiples fuentes”.
La compañía también afirmó que el asunto “requiere una investigación exhaustiva para establecer su procedencia con un nivel de confianza suficiente para proporcionar a su Oficina ya nuestros usuarios información adicional”, lo que sugiere que Facebook tampoco tiene idea.
“Facebook asegura al DPC que está dando la máxima prioridad a proporcionar respuestas firmes al DPC”, dijo Doyle también. “Un porcentaje de los registros publicados en el sitio web de los piratas informáticos contienen números de teléfono y direcciones de correo electrónico de los usuarios.
“Surgen riesgos para los usuarios a los que se les puede enviar spam con fines de marketing, pero igualmente los usuarios deben estar atentos a cualquier servicio que utilicen que requiera autenticación mediante el número de teléfono o la dirección de correo electrónico de una persona en caso de que terceros intenten obtener acceso”.
“El DPC comunicará más hechos a medida que reciba información de Facebook”, agregó.
Al momento de escribir este artículo, Facebook no había respondido a una solicitud de comentarios sobre la violación.
Los usuarios de Facebook que estén preocupados si su información está en el basurero pueden ejecutar una búsqueda para su número de teléfono o dirección de correo electrónico a través del sitio de asesoramiento sobre violación de datos, haveibeenpwned.
Según Troy Hunt de haveibeenpwned, este último volcado de datos de Facebook contiene muchos más números de teléfonos móviles que direcciones de correo electrónico.
Escribe que se le enviaron los datos hace unas semanas, obteniendo inicialmente 370 millones de registros y luego “el corpus más grande que ahora tiene una circulación muy amplia”.
“Mucho es lo mismo, pero también es diferente”, señala Hunt, y agrega: “No hay una fuente clara de estos datos”.
Actualizar: Facebook ha publicado ahora un entrada en el blog con algunos detalles adicionales sobre la violación en la que escribe que cree que los datos en cuestión fueron extraídos de los perfiles de Facebook de las personas por “actores malintencionados” utilizando una función de importador de contactos antes de septiembre de 2019, antes de realizar cambios en la herramienta destinada a evitar abusos. al bloquear la capacidad de cargar un gran conjunto de números de teléfono para encontrar los que coincidan con los perfiles.
“A través de la funcionalidad anterior, [users of Facebook’s contact importer tool] Pudimos consultar un conjunto de perfiles de usuario y obtener un conjunto limitado de información sobre los usuarios incluidos en sus perfiles públicos ”, escribe Facebook, y agrega que la información obtenida no incluía información financiera, información de salud o contraseñas.
Sin embargo, no especifica qué datos podrían haber sido obtenidos por estos actores maliciosos reutilizando sus herramientas. O si ha identificado y buscado enjuiciar a los actores en cuestión.
En cambio, su RP pasa a afirmar que dicha acción va en contra de sus términos, además de afirmar que está “trabajando para que se elimine este conjunto de datos”. También dice que “continuará persiguiendo agresivamente a los actores malintencionados que hacen mal uso de nuestras herramientas siempre que sea posible”, nuevamente sin ofrecer ningún ejemplo de casos en los que haya identificado con éxito y excluido definitivamente a un abusador de su servicio.
(¿Dónde, por ejemplo, está el informe final de una auditoría interna de aplicaciones que Facebook dijo que llevaría a cabo después del escándalo de Cambridge Analytica en 2018? El regulador de protección de datos del Reino Unido dijo recientemente que un acuerdo legal que tiene con Facebook le impide discutir la auditoría de la aplicación en público. Por lo tanto, Facebook ciertamente parece tener un enfoque agresivo cuando se trata de evitar la transparencia sobre cómo aborda el uso indebido de sus herramientas …)
“Si bien no siempre podemos evitar que conjuntos de datos como estos vuelvan a circular o que aparezcan otros nuevos, tenemos un equipo dedicado centrado en este trabajo”, agrega Facebook en el PR, sin ofrecer garantías a los usuarios de que sus datos estén seguros con su servicio. .
En su lugar, recomienda a los usuarios que verifiquen la configuración de privacidad que ofrece para las cuentas, incluidas aquellas que brindan algunos controles sobre cómo otros pueden encontrarlo en su servicio, una línea que busca desviarse de la última revelación de violación de datos de Facebook a través de un sugestivo cambio de culpa; es decir, al dar a entender que la responsabilidad de la seguridad de los datos está en manos de los usuarios de Facebook, en lugar de en el propio Facebook.
Por supuesto que ese no es el caso. Sobre todo porque a los usuarios de Facebook solo se les ofrece controles parciales sobre sus datos por parte de Facebook, y todo el diseño y la elaboración de Facebook (incluida la configuración de valores predeterminados hostiles a la privacidad).
Además, al menos en Europa, la empresa tiene la responsabilidad legal de incorporar seguridad en el diseño de sus productos. No ofrecer un nivel adecuado de protección para los datos personales puede generar importantes sanciones regulatorias, aunque la empresa sigue beneficiándose de un cuello de botella en la aplicación del RGPD.
El PR de Facebook también sugiere que los usuarios habiliten la autenticación de dos factores para mejorar la seguridad de la cuenta.
Ciertamente es una buena idea, pero en el frente 2FA vale la pena señalar que Facebook ahora ofrece soporte para claves de seguridad y aplicaciones de autenticación de terceros para 2FA – lo que significa que puede agregar esta capa adicional de seguridad sin arriesgarse a darle a Facebook su número de teléfono móvil. Y dado que el servicio ha filtrado de manera demostrable los números de teléfono de los usuarios a gran escala, mientras que la empresa también ha admitido el uso de dígitos 2FA para la orientación de anuncios, realmente no debería confiar en Facebook con su número de teléfono.
Actualización 2: En comentarios de antecedentes adicionales, Facebook dijo que no comentará cómo se comunica con los reguladores.
También dijo que no tiene planes de notificar a los usuarios individualmente sobre la violación, especificando además que debido a cómo se obtuvieron los datos (raspado), no se puede estar completamente seguro de quién necesitaría ser notificado.