Más de 540 millones de registros de usuarios de Facebook fueron expuestos por buckets de Amazon S3 (almacenamiento en la nube de la compañía), con acceso público y utilizados por dos aplicaciones de terceros para almacenar datos de usuarios, contraseñas de aplicaciones en texto plano, nombres de cuentas, ID de usuarios, intereses, etc.
La investigación arrojó como responsable a la empresa de medios de comunicación Cultura Colectiva con sede en México, quien almacenó los registros de millones de usuarios en una base de datos de 146 GB llamada "cc-datalake", almacenada en un bucket mal configurado de Amazon S3 que permitió a cualquiera la descarga de esta.
Esta enorme colección de registros de Facebook contenía "comentarios, "me gusta", “reacciones”, nombres de cuentas, ID’s de FB, entre otros datos, permitiendo a Cultura Colectiva ajustar un algoritmo para predecir qué contenido a futuro generará más tráfico.
Se descubrió otra base de datos relacionada con la aplicación "At the Pool" (una versión archivada del sitio web, descontinuada, con solo 22.000 registros, en un paquete descargable de Amazon S3 que, desafortunadamente, también contenía contraseñas de usuario en texto plano.
Esta base de datos más pequeña, incluía campos como "fk_user_id, fb_user, fb_friends, fb_likes, fb_music, fb_movies, fb_books, fb_photos, fb_events, fb_groups, fb+checkins, fb_interests”. Si bien esta base de datos no filtró la gran cantidad de datos contenidos en la base de datos de Cultura Colectiva expuesta, el hecho de que pertenezca a una compañía que dejó de operar hace cinco años en 2014 hace pensar en cuántas otras instancias similares de AWS pueden estar comprometiendo datos de usuarios, listos para ser descargados.
Los investigadores se contactaron con Cultura Colectiva para informarles de la filtración de datos de sus usuarios el día 10 y 14 de Enero, sin recibir una respuesta. Sin embargo, después de ponerse en contacto con los servicios web de Amazon el 28 de enero, se les informó que la compañía finalmente se enteró de la fuga de datos el 1 de febrero.
Después de otro intercambio y una intervención de Bloomberg (compañía estadounidense que ofrece software financiero, datos y noticias) solicitó comentarios sobre el tema, la base de datos cc-datalake finalmente fue asegurada el día 3 de abril.
Los investigadores se contactaron con Cultura Colectiva para informarles de la filtración de datos de sus usuarios el día 10 y 14 de Enero, sin recibir una respuesta. Sin embargo, después de ponerse en contacto con los servicios web de Amazon el 28 de enero, se les informó que la compañía finalmente se enteró de la fuga de datos el 1 de febrero.
Después de otro intercambio y una intervención de Bloomberg (compañía estadounidense que ofrece software financiero, datos y noticias) solicitó comentarios sobre el tema, la base de datos cc-datalake finalmente fue asegurada el día 3 de abril.
REFERENCIA
COMENTARIOS