Denuncian unha vulnerabilidade en aplicacións de Facebook usadas por máis de 120 millóns de usuarios ao mes
venres, 29 de xuño do 2018
En marzo destapouse o escándalo por mor da filtración
de datos de usuarios de Facebook a través da aplicación thisisyourdigitallife, e pese a que dende Facebook aseguraron
ter tomado medidas para evitar que se repetisen situacións semellantes, non
parece que a preocupación polos datos persoais dos usuarios vaia máis aló de
gardar as aparencias se atendemos a un novo
fallo de seguridade que agora explica o experto en seguridade Inti De Ceukelaire,
quen descubriu unha vulnerabilidade nas aplicacións de Facebook de Nametests.com que durante anos poderÃa terse
empregado para roubar datos (incluso tras borrar a aplicación de Facebook), e
que tras a alerta a Facebook pola súa banda tardaron un par de meses en
corrixir (o que semella un comportamento neglixente).
Ceukelaire comunicou a Facebook o fallo de seguridade detectado a través do
programa de recompensas de abusos de datos de Facebook, e tras a confirmación e
corrección do problema Facebook realizou unha doazón de 8.000 dólares á Fundación para a Liberdade de Prensa en compensación.
O experto en seguridade, tras o escándalo de Cambridge Analytica, decidiu botar
un ollo á seguridade de Facebook no manexo de datos persoais, e detectou
problemas coas célebres aplicacións de Nametests.com, que son as tÃpicas enquisas
de Facebook nas que, tras responder a unha serie de preguntas non din que
princesa Disney serÃamos, o significado do noso nome ou incluso permÃtenos aplicar
efectos ás nosas fotografÃas para compartilas en Facebook. Ao parecer, as
aplicacións desta compañÃas presentaban numerosa información persoal en aberto
no seu código, o que facilitaba a súa captación por parte de terceiros, e para
demostralo construÃu unha páxina web que conseguÃa roubar os datos persoais
(nome, apelido, idade, data de nacemento, sexo, fotografÃas, publicacións,
amigos...) de usuarios das enquisas de Nametests.com (que teñen máis de 120
millóns de usuarios ao mes).
Estamos ante un fallo de seguridade que claramente expoñÃa datos persoais por
mor de malas prácticas de programación, o que desvela o pouco control que
Facebook exerce sobre as aplicacións de terceiros, especialmente porque
Ceukelaire advertiu do fallo o pasado 22 de abril, e até hai poucos dÃas non se
corrixiu, en vez de ter suspendido inmediatamente as aplicacións vulnerables
como serÃa pertinente se Facebook realmente se preocupase polos datos dos seus
usuarios.
AÃnda que non hai evidencias de que o fallo de seguridade de Nametests.com fose
explotado activamente, potencialmente puido terse empregado dende 2016 para
roubar información persoal. E aÃnda que agora pouco pode facerse, este tipo de
incidencia deberÃa chamar á prudencia aos usuarios, para non andar a xogar coas moitas aplicacións de
Facebook que non achegan realmente ningún valor pero, pola contra, supoñen un
risco para os nosos datos persoais.