Más de 1.500 millones de datos personales de usuarios de Facebook encontrados a la venta en un foro de piratas informáticos

A pesar de que esto no tiene relación con los problemas recientes que ha tenido Facebook, este lote particular de datos se extrajo de los perfiles (scraping), lo que significa que es conocimiento disponible públicamente.

Informado por la empresa de investigación de privacidad Privacy Affairs, los datos encontrados para la venta no indican que el vendedor realmente haya irrumpido en los sistemas de Facebook, ni que sus datos estén vinculados a ninguna otra violación de datos. En cambio, Privacy Affairs dijo que los datos supuestamente se obtuvieron raspando los datos disponibles públicamente compartidos por los usuarios de Facebook, esta técnica se conoce como scraping.

En particular, los datos robados contienen nombres, direcciones de correo electrónico, ubicaciones, sexo, números de teléfono e información de identificación de usuario de Facebook. Cada bit de esos datos podría dar pistas a un atacante sobre posibles contraseñas, permitirle interceptar códigos de inicio de sesión únicos, realizar campañas de phishing, enviar mensajes de texto fraudulentos y más.

Si bien el potencial de explotación de este conjunto de datos en particular puede haber disminuido gracias a su eliminación de este foro en particular, se desconoce si podría terminar publicado en otro lugar o cuántos compradores ya lo han comprado. Hay un total de casi tres mil millones de personas en Facebook, lo que significa que los datos de hasta la mitad de ellos podrían estar en manos de malos actores.

Privacy Affairs dijo que los datos que examinaron de las muestras proporcionadas en los foros parecen ser legítimos. El vendedor afirma que su grupo ha estado en funcionamiento durante al menos los últimos cuatro años y ha atendido a más de 18.000 clientes en ese tiempo. La verificación cruzada de los datos con las filtraciones conocidas de Facebook no arrojó ninguna coincidencia, lo que según Asuntos de Privacidad podría indicar que todos estos son datos nuevos, pero legítimos.

Raspado / Scraping

Es una forma peligrosamente simple de comprometer la privacidad.
Cada bit de datos disponibles públicamente puede ser «raspado» por un bot y almacenado en una base de datos, hoja de cálculo u otro tipo de archivo. Sin embargo, esa no es la única herramienta que usan los atacantes: también usan cuestionarios de Facebook como «¿Qué personaje del programa X eres tú?» para recolectar datos.

Cada vez que alguien ingresa a una de estas encuestas o cuestionarios, permite a los creadores de estos juegos ver su información personal de Facebook, como nombre completo, correo electrónico, número de teléfono, ubicación, género y más.

Debido a que el raspado solo requiere que los datos estén disponibles, los usuarios de Facebook deben asegurarse de nunca configurar sus perfiles como públicos. También es una buena idea someterse a una revisión de privacidad de Facebook para asegurarse de que no haya fragmentos de datos errantes que se escapen de lugares que creía que eran seguros.