Dos cachés de datos de usuarios de Facebook, uno de ellos con 540 millones de registros, se encontraron recientemente sin protección en los servidores de la nube de Amazon, dijo UpGuard en un blog publicado el miércoles (3 de abril).
Facebook no puso los datos allí. Fue recolectada por dos compañías de terceros, que violaron las políticas de Facebook almacenándolas públicamente. Pero el hecho de que haya mucho de eso, y que parece haber sido bastante fácil de encontrar, nos hace preguntarnos cuánto más datos de usuarios de Facebook están flotando en la nube más allá del alcance de Facebook.
«A medida que Facebook se enfrenta al escrutinio de sus prácticas de administración de datos, han hecho esfuerzos para reducir el acceso de terceros», dice la publicación de UpGuard. «Pero como muestran estas exposiciones, el genio de los datos no se puede volver a poner en la botella. Los datos sobre los usuarios de Facebook se han extendido mucho más allá de lo que Facebook puede controlar hoy».
Para que quede claro, los 540 millones de registros encontrados en el mayor de los dos conjuntos de datos no se traducen en 540 millones de usuarios de Facebook. Ese alijo de datos fue recolectado por una firma mexicana de medios digitales llamada Cultura Colectiva , que tiene un sitio web atractivo, con muchas fotos, en español e inglés dedicado a todo lo que sea latinoamericano, así como a una gran cantidad de cultura pop. Es una especie de híbrido de Mashable, Tumblr y BuzzFeed.
Cultura Colectiva, que existe desde 2013, insta a los lectores a compartir sus historias en Facebook, Twitter, WhatsApp y Pinterest. Su sistema de comentarios utiliza la API de Facebook. Cualquier persona que quiera comentar debe iniciar sesión en Facebook y permanecer conectado.
Parece que los 540 millones de registros pueden de hecho ser un agregado de todos los «comentarios, gustos, reacciones, nombres de cuentas, identificaciones de Facebook y más», como lo describió UpGuard, en relación con cada comentario realizado en cualquier historia de Cultura Colectiva.
Eso es aún 146 gigabytes de material, dijo UpGuard. Sería una gran cantidad de datos de usuario de Facebook para los interesados. Pero no incluye las contraseñas de Facebook y no ofrece ninguna ruta directamente a las cuentas de Facebook.
Lo sentimos, la piscina está cerrada.
El otro conjunto de datos fue recopilado por una empresa de medios sociales fallida llamada At the Pool que tenía como objetivo «agrupar» a personas que compartían intereses comunes y que estaban geográficamente cerca unas de otras. En un momento dado, At the Pool requirió la autenticación de Facebook, similar a Tinder.
El cubo At the Pool Amazon encontrado por UpGuard contenía datos de 22,000 usuarios de Facebook, incluyendo su ID de usuario de Facebook, Me gusta, amigos, fotos, grupos e intereses. Se incluyeron contraseñas de texto simple, pero no eran contraseñas de Facebook.
«Las contraseñas son presumiblemente para la aplicación ‘At the Pool’ en lugar de para la cuenta de Facebook del usuario, pero pondrían en riesgo a los usuarios que han reutilizado la misma contraseña en todas las cuentas», señala la publicación del blog de UpGuard.
Después de dos años de operación, At the Pool se arruinó en 2014. Es posible que los datos se hayan quedado sin protección en la nube de Amazon durante cinco años. En el lado positivo, los datos se eliminaron del servidor de Amazon mientras los investigadores de UpGuard estaban hurgando en él, y antes de que tuvieran la oportunidad de notificar a nadie.
«Se desconoce si esto es una coincidencia, si hubo un lapso de tiempo de alojamiento o si una parte responsable se dio cuenta de la exposición en ese momento», escribió UpGuard. «En cualquier caso, la aplicación ya no está activa y todas las señales apuntan a que su empresa matriz se cerró».
Silencio de radio
Tal no fue el caso con los datos de Cultura Colectiva. UpGuard dijo que le contaron a Cultura Colectiva sobre el alboroto protegido el 10 de enero y el 14 de enero, y les contó a los administradores del servidor de Amazon el 1 de febrero y el 21 de febrero.
«No fue hasta la mañana del 3 de abril de 2019, luego de que Bloomberg se contactó con Facebook para comentar, que la copia de seguridad de la base de datos (…) finalmente se aseguró», dijo la publicación.
Han perdido el control de nuevo
Estas dos historias tienen finales vagamente felices. No hay evidencia de que nadie más que los investigadores de UpGuard estuviera al tanto de ninguno de los conjuntos de datos, aunque naturalmente no podemos estar seguros.
En el lado negativo, lo que estos cuentos indican es que muchas empresas, la mayoría de las cuales nunca han oído hablar, tienen enlaces con el contenido de los usuarios de Facebook. Es casi seguro que hay muchos más datos de Facebook almacenados en los servidores web de Amazon, solo con protección. Estos dos conjuntos de datos son simplemente lo que los investigadores de UpGuard pudieron encontrar.
Hasta ahora, la cantidad de datos de Facebook mal utilizados que hemos aprendido ( Cambridge Analytica y estas dos bases de datos) es probablemente la punta del iceberg.
«Los datos expuestos en cada uno de estos conjuntos no existirían sin Facebook, sin embargo, estos conjuntos de datos ya no están bajo el control de Facebook», dice la publicación de UpGuard en conclusión.
«La plataforma de Facebook facilitó la recopilación de datos sobre individuos y su transferencia a terceros», agrega. «La responsabilidad de proteger [los datos de usuario de Facebook] recae en millones de desarrolladores de aplicaciones que han desarrollado su plataforma».