Más de 267 millones de cuentas de Facebook estuvieron disponibles para descarga en línea

Según información de Comparitech y el investigador de seguridad Bob Diachenko, una base de datos que contenía más de 267 millones de credenciales de usuarios de Facebook con números de teléfono y nombres se dejó expuesta en la web para que cualquiera pudiera acceder sin contraseña u otra autenticación.

Diachenko cree que la filtración de los datos probablemente fue el resultado de una operación ilegal de raspado o abuso de API (Application Programing Interface) de Facebook, por parte de delincuentes de Vietnam.

En cuanto fue descubierta la filtración, Diachenko notificó al proveedor de servicios de Internet que administra la IP del servidor para que se eliminara el acceso; sin embargo, de acuerdo con la investigación, la base de datos estuvo expuesta casi dos semanas antes de tomar medidas precautorias.

• 4 de diciembre: la base de datos se indexó por primera vez.
• 12 de diciembre: los datos se publicaron como descarga en un foro de hackers.
• 14 de diciembre: Diachenko descubrió la base de datos e inmediatamente envió un informe de abuso al ISP que administra la dirección IP del servidor.
• 19 de diciembre: la base de datos ya no está disponible.

Los datos filtrados corresponden en su mayoría a cuentas registradas en Estados Unidos, y los expertos creen que con los datos filtrados los usuarios finales están expuestos a ser víctimas de campañas de spam y phising por SMS a gran escala.

La forma en que los delincuentes extrajeron las ID de usuario no ha quedado clara, aunque todo apunta a que los datos fueron robados de la API de desarrollador de Facebook antes de que la compañía restringiera el acceso a los números de teléfono en 2018.

Diachenko dice que la API de Facebook también podría tener un agujero de seguridad que permitiría a los delincuentes acceder a identificaciones de usuario y números de teléfono, incluso después de que se restringiera el acceso.