Facebook culpa a los usuarios de la filtración de sus números de teléfono

tos

Las leyes de protección de datos europeas son muy estrictas en cuando a la notificación de filtraciones de datos. Las empresas tienen 72 horas para notificar su existencia a las agencias de protección de datos de cada país. En el caso de España, es la Agencia Española de Protección de Datos (AEPD) la entidad a la que hay que avisar. Sin embargo, Facebook ha anunciado que no va a notificar a los usuarios afectados.

En total, hay 533 millones de cuentas, donde casi 11 millones de ellas pertenecen a personas residentes en España. Entre los datos filtrados se encuentran los números de teléfono, nombres, ciudad en la que viven, empresa en la que trabajan, e incluso el correo electrónico. Los datos se obtuvieron, en principio, hasta agosto de 2019 a través de una vulnerabilidad en la herramienta de Facebook para sincronizar contactos, los cuales se suben cuando el usuario se crea una cuenta nueva desde el móvil.

Los usuarios, «culpables» por no proteger sus datos

Tras conocerlo, lo parchearon, pero la mayoría de usuarios que aparecen en la base de datos no tienen culpa de que otras personas hayan unido su teléfono y su nombre, siendo esto algo diseñado por la propia Facebook. A través del fallo, el atacante creó una libreta de direcciones con todos los teléfonos del planeta, y luego fue preguntando a Facebook si sus «amigos» estaban en Facebook.

La plataforma afirma que no tiene claro exactamente a qué usuarios sería necesario notificar, culpando además a los usuarios por dejar pública esa información relacionada con sus cuentas. El tipo y cantidad de información filtrados también complica comunicarse con los usuarios, ya que tendrían que hacerlo a través del teléfono móvil, que es lo que principalmente se ha filtrado en esta situación, asociados a un nombre como mínimo.

En el post, Facebook afirma que los usuarios han de revisar la privacidad de sus perfiles y de la información que comparten, siendo recomendable poner la cuenta como privada y que no aparezca indexable en el buscador. Así, la compañía se desentiendo de ello, a pesar de que el ajuste por defecto permita encontrar a una persona a través de su número de teléfono.

Facebook, por ley, debe notificarlo a las agencias de protección de datos

Facebook le restó importancia a la filtración en un inicio, afirmando que se produjo hace mucho tiempo (a pesar de ser menos de dos años). Además, el hecho de que 1 de cada 15 personas del planeta estuviese en esa base de datos, la cual fue puesta gratis en un foro de hackeo, no importaba. La excusa de que utilizaron técnicas de scraping y no hicieran un hackeo al uso fue la misma excusa que dieron con Cambridge Analytica.

En Estados Unidos, la FTC requiere que una filtración o un acceso no autorizado a datos de los usuarios sea notificado si hay más de 500 personas afectadas, y tardando un máximo de 30 días en hacerlo. Facebook no ha dicho nada sobre las conversaciones que está o no teniendo con las autoridades reguladoras, pero afirma que está respondiendo cualquier pregunta que les hagan.

Curiosamente, aunque Facebook parcheó el fallo en agosto de 2019, algunos usuarios afirmaron que podían seguir explotándolo pasada esa fecha. Además, un investigador de ciberseguridad llamado Inti de Ceukelaire reveló que él ya reportó el fallo a Facebook en 2017, pero que la plataforma no le hizo caso.

[quote]They also claim to have ‘found’ the issue in 2019 – which is a blatant lie. I reported the issue to them in 2017 – they said “we might tweak rate limits in the future” and blamed users for not understanding their kafkaesque privacy settings.

https://t.co/0xLpXvbonw pic.twitter.com/57yHrmYViJ

— Inti De Ceukelaire (@intidc) April 6, 2021[/quote]

Facebook, en su blog, tampoco ha explicado por qué aparecen los números de teléfono de personas que borraron su cuenta antes de 2018. Eso podría indicar que Facebook guarda alguna base de datos con datos de usuarios cuyas cuentas han borrado, ya sea en forma del número de teléfono o su nombre.

Ver información original al respecto en Fuente>