540 millones de usuarios de Facebook en servidores mal configurados

 

Además de la exposición de datos de usuarios en servidores Amazon mal configurados, esta semana se conoció que la compañía solicitaba a los usuarios la contraseña de las direcciones de correo como parte del proceso de verificación de nuevas cuentas. La última semana no ha sido la mejor para Facebook. La primera mala noticia que se conoció esta semana fue que la red social ha estado solicitando a nuevos usuarios la dirección y la contraseña de sus cuentas de correo como parte del proceso de verificación para registrar nuevas cuentas; lo cual supone un riesgo la seguridad de los usuarios. La segunda mala noticia, que se hizo pública en el día de ayer y que también tiene como protagonista a Facebook, es el hallazgo de más de 540 millones de registros de usuarios que estaban alojados en servidores de Amazon sin protección.

 

Registros de más de 540 millones de usuarios de Facebook expuestos de manera pública

Ayer, investigadores de UpGuard revelaron que servidores utilizados por dos desarrolladores de terceras partes de aplicaciones para Facebook expusieron datos de millones de usuarios que estaban almacenados en servidores de Amazon mal configurados, quedando la información al alcance público. Uno de estos servidores pertenece al medio digital mexicano Cultura Colectiva, el cual almacenaba 146GB  con más de 540 millones de registros que contenían datos como nombres y ID de usuarios, información variada relacionada a gustos e intereses de los usuarios, como “me gusta”, comentarios, entre otras cosas más.

 

El segundo, también almacenado en un servidor Amazon (Amazon S3 bucket), pertenece a la aplicación “At the Pool” y contiene información como contraseñas en texto plano, además de información de los usuarios, como intereses, amigos, música, entre otros. Según los investigadores, se cree que las contraseñas descubiertas en la base de datos eran de la propia aplicación, pero dado que muchos usuarios utilizan la misma contraseña para otros servicios, la exposición supone un riesgo mayor.

 

Facebook solicita dirección y contraseña del correo de los usuarios

La otra noticia la dio a conocer el 31 de marzo un especialista en ciberseguridad, conocido como e-sushi, cuando a través de su cuenta de twitter publicó el hallazgo de que Facebook ha estado solicitando a nuevos usuarios que deciden registrase en la red social que ingresen la dirección y la contraseña de su cuenta de correo como parte del proceso de verificación. Si bien esto no es para todos los servicios de correo, el almacenamiento de esta información supone un riesgo para la seguridad de los usuarios

 

De acuerdo a una declaración pública que hizo la red social al medio Daily Beast, la compañía confirmó la existencia de ese proceso de verificación, pero aseguró que no almacena en sus servidores las contraseñas aportadas por los usuarios en dicha instancia. Asimismo, la compañía aseguró que dejará de realizar esta práctica de solicitar la contraseña del correo como parte del proceso de verificación.

 

Lo particular de esta última noticia es que el hecho se conoció dos semanas después de que la compañía liderada por Mark Zuckerberg admitiera que durante años almacenó cientos de millones de contraseñas de usuarios en texto plano de manera insegura en servidores de la compañía que estaban accesibles a más de 20,000 empleados

 

ESET también alerta de otro nuevo engaño relacionado a correos falsos que se hacen pasar por Netflix para robar las credenciales de accesos y datos de las cuentas de usuarios desprevenidos. Recientemente el laboratorio de la empresa identificó un nuevo correo supuestamente proveniente de la plataforma, indicando que había ocurrido alguna actividad sospechosa y que se necesitaba verificar la información de inicio de sesión a la misma.

 

Cualquier usuario desprevenido podría suponer que se trata de un envío real por parte del proveedor de servicios de series y películas, y hacer clic en el enlace de ACTUALIZAR para evitar perder el acceso a su servicio. Mediante ese enlace directo, no se identifica de primera mano que la web a la que se dirige no corresponde a ninguna dirección oficial del servicio Netflix, ni siquiera aparece en alguna parte de la composición del link. Luego, se ingresa a un dominio que hace referencia a un supuesto equipo de Netflix, donde se nota que el servidor corresponde a un servicio de hosting gratuito de Emiratos Árabes.

 

La pantalla copia a la perfección el sitio original y tiene como particular que ante el ingreso de cualquier usuario y clave, no se produce ningún tipo de verificación de credenciales sino que lleva el intento de robo de datos un paso más allá, solicitando el ingreso de los datos de la tarjeta de crédito asociada a la cuenta.

 

Nuevamente no verifica los datos ingresados, solamente se valida que cumpla con el requisito de longitud en algunos campos. Luego de dar la información solicitada, el sitio finalmente rediccionará al usuario al portal original de Netflix, habiendo logrado el cometido del robo de credenciales de acceso y los datos de pago de la cuenta.

 

En un análisis un poco más exhaustivo no se pudo verificar que se realizaran segundas acciones como la descarga de algún malware, o la ejecución de algún código adicional que afectara los recursos de la máquina, con lo que se puede interpretar que se trata de una campaña que busca únicamente el robo de información personal, presumiblemente para vender en el mercado negro (la venta de los datos de una tarjeta de crédito activa ronda los 45 U$D en la Dark Web) , o bien para utilizar en otros ataques dirigidos.”, comentó Camilo Gutierrez, Jefe del Laboratorio de ESET Latinoamérica.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *