Blog

Informe: 267 millones de identificaciones y números de teléfono de usuarios de Facebook expuestos en línea (ACTUALIZACIÓN: ahora 309 millones)

Una base de datos que contiene más de 267 millones de identificaciones de usuarios, números de teléfono y nombres de Facebook quedó expuesta en la web para que cualquiera pudiera acceder sin contraseña ni ningún otro tipo de autenticación.

Comparitech se asoció con el investigador de seguridad Bob Diachenko para descubrir el clúster Elasticsearch. Diachenko cree que lo más probable es que el tesoro de datos sea el resultado de una operación de scraping ilegal o de un abuso de la API de Facebook por parte de delincuentes en Vietnam, según la evidencia.

La información contenida en la base de datos podría utilizarse para realizar campañas de phishing y spam SMS a gran escala, entre otras amenazas a los usuarios finales.

Diachenko notificó inmediatamente al proveedor de servicios de Internet que administraba la dirección IP del servidor para que se pudiera eliminar el acceso. Sin embargo, Diachenko dice que los datos también se publicaron en un foro de hackers como descarga.

Actualización del 6 de marzo de 2020:Un segundo servidor fue expuesto por lo que parece ser el mismo grupo criminal. Los datos de este servidor son idénticos a los del primero, más 42 millones de registros adicionales. Hemos actualizado este artículo en consecuencia.

¿Quiere hacer más para proteger su privacidad y seguridad?Vea nuestra lista de herramientas recomendadas:

Las mejores VPN
Mejor antivirus
Los mejores administradores de contraseñas
La mejor protección contra el robo de identidad

Cronología de la exposición

La base de datos estuvo expuesta durante casi dos semanas antes de que se eliminara el acceso. Esto es lo que sabemos:

4 de diciembre de 2019: los motores de búsqueda indexaron por primera vez la base de datos.
12 de diciembre de 2019: los datos se publicaron como descarga en un foro de piratas informáticos.
14 de diciembre de 2019: Diachenko descubrió la base de datos e inmediatamente envió un informe de abuso al ISP que administra la dirección IP del servidor.
19 de diciembre de 2019: se eliminó el acceso a la base de datos.
2 de marzo de 2020: el motor de búsqueda BinaryEdge indexó un segundo servidor que contenía registros idénticos más 42 millones adicionales.
4 de marzo de 2020: Diachenko descubrió el segundo servidor y alertó al proveedor de alojamiento.
4 de marzo de 2020: el servidor fue atacado y destruido por actores desconocidos.

Normalmente, cuando encontramos datos personales expuestos como este, tomamos medidas para notificar al propietario de la base de datos. Pero como creemos que estos datos pertenecen a una organización criminal, Diachenko fue directamente a las partes que alojan los servidores y las direcciones IP relevantes.

Poco después de que Diachenko descubriera el segundo servidor, fue atacado por un desconocido. Las bases de datos de información personal fueron reemplazadas con datos ficticios y nombres de bases de datos que decían 'por favor_seguro_tus_servidores”.

exposición al fluido de facebook 1 — Base de datos expuesta antes de un ataque desconocido.

Base de datos expuesta tras ataque desconocido.

¿Qué datos fueron expuestos?

Inicialmente se expusieron 267.140.436 registros. La mayoría de los usuarios afectados eran de Estados Unidos. Diachenko dice que todas ellas parecen ser válidas. Cada uno contenía:

Una identificación única de Facebook
Un número de teléfono
un nombre completo
una marca de tiempo

El servidor incluía una página de inicio con un panel de inicio de sesión y una nota de bienvenida.

Los ID de Facebook son números públicos únicos asociados con cuentas específicas, que se pueden usar para discernir el nombre de usuario de una cuenta y otra información del perfil.

El segundo servidor expuesto en marzo de 2020 contenía los mismos 267 millones de registros que el anterior, más 42 millones de registros adicionales. Estaba alojado en un servidor Elasticsearch de EE. UU. 25 millones de esos registros contenían información similar: ID de Facebook, números de teléfono y nombres de usuario.

16,8 millones de los nuevos registros contenían aún más información, incluyendo:

Identificación del facebook
Número de teléfono
Detalles del perfil
Correos electrónicos
Algunos otros datos personales

¿Cómo obtuvieron los delincuentes los datos de Facebook?

No está del todo claro cómo los delincuentes obtuvieron las identificaciones de usuario y los números de teléfono. Una posibilidad es que los datos hayan sido robados de la API de desarrollador de Facebook antes de que la empresa acceso restringido a números de teléfono en 2018. Los desarrolladores de aplicaciones utilizan la API de Facebook para agregar contexto social a sus aplicaciones accediendo a los perfiles de los usuarios, la lista de amigos, los grupos, las fotos y los datos de eventos. Los números de teléfono estaban disponibles para desarrolladores externos antes de 2018.

Diachenko dice que la API de Facebook también podría tener un agujero de seguridad que permitiría a los delincuentes acceder a las identificaciones de los usuarios y a los números de teléfono incluso después de que el acceso estuviera restringido.

Otra posibilidad es que los datos hayan sido robados sin utilizar la API de Facebook en absoluto y, en su lugar, extraídos de páginas de perfil visibles públicamente.

'Scraping' es un término utilizado para describir un proceso en el que robots automatizados examinan rápidamente una gran cantidad de páginas web y copian datos de cada una en una base de datos. Es difícil para Facebook y otros sitios de redes sociales evitar el scraping porque a menudo no pueden distinguir entre un usuario legítimo y un bot. El scraping va en contra de los términos de servicio de Facebook y de la mayoría de las otras redes sociales.

Muchas personas tienen la configuración de visibilidad de su perfil de Facebook configurada como pública, lo que hace que eliminarlos sea trivial.

Esta no es la primera vez que se expone una base de datos de este tipo. En septiembre de 2019, Se expusieron 419 millones de registros en varias bases de datos. . Estos también incluían números de teléfono e identificaciones de Facebook.

Peligros de los datos expuestos

Es probable que una base de datos de este tamaño se utilice para phishing y spam, especialmente a través de SMS. Los usuarios de Facebook deben estar atentos a mensajes de texto sospechosos. Incluso si el remitente conoce su nombre o alguna información básica sobre usted, sea escéptico ante cualquier mensaje no solicitado.

Los usuarios de Facebook pueden minimizar las posibilidades de que extraños eliminen sus perfiles ajustando la configuración de privacidad de su cuenta:

Abre Facebook y ve a **Ajustes**
Hacer clic **Privacidad**
Establezca todos los campos relevantes en **Amigos** o **Solo yo**
Colocar **”¿Quieres que los motores de búsqueda fuera de Facebook enlacen a tu perfil**? a **No**

Esto reducirá las posibilidades de que terceros eliminen su perfil, pero la única forma de garantizar que nunca vuelva a suceder es desactivar o eliminar por completo su cuenta de Facebook.

Cómo y por qué descubrimos estos datos

Comparitech trabaja con Bob Diachenko para descubrir bases de datos no seguras e informarlas al público. Nuestro objetivo es limitar el acceso y el abuso de datos personales por parte de partes malintencionadas y concienciar a los afectados sobre los riesgos potenciales.

Al descubrir datos expuestos, Diachenko notifica inmediatamente a los responsables para que la base de datos pueda cerrarse o protegerse. Luego analizamos la filtración para identificar a las víctimas, la duración de la exposición y cualquier amenaza potencial que puedan enfrentar las víctimas.

Informes anteriores

Comparitech y Diachenko colaboran periódicamente para descubrir datos expuestos. Algunos de nuestros otros informes incluyen:

2.700 millones de direcciones de correo electrónico expuestas, en su mayoría dominios chinos, 1 millón de las cuales incluían contraseñas
Registros personales detallados de 188 millones de personas encontrados expuestos en la web
7 millones de expedientes estudiantiles expuestos por K12.com
5 millones de registros personales pertenecientes a MedicareSupplement.com expuestos al público
2,8 millones de registros de clientes de CenturyLink expuestos
Se filtraron 700.000 registros de clientes de Choice Hotels

DeHashed.com , un servicio de consultoría, prevención y notificación de infracciones, también descubrió la segunda exposición de datos y se puso en contacto con nosotros para confirmar la evidencia que indicaba que el mismo grupo criminal era el responsable.

3D-Online

Información, Herramientas, Revisiones Y Comparaciones, Para Ayudar A Los Lectores A Mejorar Su Ciberseguridad Y Confidencialidad En Internet.