Defensores de la privacidad critican a Facebook por raspado de información
Los defensores de la privacidad están al pie de guerra después de que el CEO Mark Zuckerberg anunciara que una herramienta de búsqueda inversa en Facebook puede haber comprometido la información de la red social de dos mil millones de usuarios.
La característica en cuestión fue diseñada para permitir que los usuarios ingresaran un número de teléfono de Facebook o dirección de correo en la herramienta de búsqueda de red social para encontrar un amigo. Pero nuevas revelaciones de Facebook indican que la característica además fue usada por actores maliciosos para obtener los datos de millones de usuarios de Facebook. La compañía ha deshabilitado la característica, dijo Zuckerberg el miércoles, en una conferencia de prensa sobre las políticas de privacidad de datos de la compañía.
“Muchos usuarios de Facebook están naturalmente molestos por la situación, pero al final, la moraleja de esta historia es que las personas necesitan ser más consideradas sobre qué información están compartiendo y con quién”, dijo Craig Young, investigador de seguridad de Tripwire’s Vulnerability and Exposure Research Team. “Esta es una de esas situaciones que deberán abrir los ojos de las personas sobre la importancia de leer antes de dar click en OK”
La función de aceptación dejó un agujero de seguridad abierto a los cibercriminales para recolectar datos personales limitados de los usuarios de Facebook que posteriormente podrían ser usados en ataques dirigidos. De acuerdo con Zuckerberg, la compañía está consciente de muchas instancias maliciosas cuando la herramienta ha sido usada por uno o más terceros. “Hemos visto algunos 'scraping' (raspado)… Yo asumiría que, si tuvieras esa característica activada, alguien en algún momento ha tenido acceso a tu información pública de algún modo”, dijo.
El CTO Mike Schroepfer también escribió sobre este tema en una publicación de blog reciente, diciendo: “Dada la escala y sofisticación de la actividad que hemos visto, creemos que podrían haber recolectado la información del perfil público de la mayoría de las personas en Facebook de esta manera”.
“Así que ahora hemos deshabilitado esta característica”, Dijo Schroepfer en el post. “Además hicimos cambios en recuperación de cuenta para reducir el riesgo de 'scraping' también”.
Koby Kilimnik, investigador de seguridad de Imperva, dijo que existen mitigaciones que pueden ofrecerse contra 'scrapers', “pero el usuario final no deberá asumir que las soluciones están en uso cuando se publican en algún sitio seleccionado en el que están registradas”.
“Incluso si sus datos no son completamente públicos en Facebook u otras plataformas sociales, tus amigos y contactos pueden hacer esto público si lo desean simplemente copiándolo en el dominio público”, dijo. “Esto no significa que no podamos compartir, si no que debemos entender las consecuencias del acto en su totalidad e informar a otros que ellos pueden ser capaces de decidir por sí mismos lo que quieren hacer con sus datos privados.”
Facebook ha estado bajo escrutinio publico desde marzo, cuanto fue descubierto que una aplicación de terceros había entregado los datos de millones de usuarios de la plataforma a Cambridge Analytica (un grupo de consultoria que trabaja en muchas campañas políticas de perfil alto, incluyendo las del presidente Donald Trump) desde 2015. De acuerdo con Facebook arriba de 87 millones de personas pueden haber compartido sus datos impropiamente con Cambridge Analytica.
Gennie Gebhart, investigador de Electronic Frontier Foundation, le dijo a Threatpost que la preocupación de la privacidad continuará mientras los datos en Facebook sean accesibles a terceros.
“Es importante no perder de vista el hecho de que el problema aquí no son los malos actores, y no son terceros; el problema real es que Facebook está recolectando, almacenando y construyendo una muy eficiente infraestructura que permite a otros buscar una cantidad sin precedente de datos de usuario. Hasta que cambie, las preocupaciones de privacidad… no van a desaparecer” dijo.
Zuckerberg, por su parte, reiteró en el llamado del miércoles que Facebook prioriza la privacidad y la protección de la información de sus usuarios.
“No es suficiente solo conectar personas… no es suficiente solo dar voz a las personas, tenemos que asegurar que las personas no estén usando esa voz para lastimar personas o desinformar. Y no es suficiente solo dar herramientas a las personas para crear apps, tenemos que asegurarnos que todos estos desarrolladores protegen la información de las personas también”, dijo.
Sin embargo, la debacle ha dejado a la industria de la seguridad escéptica de la privacidad de los datos en Facebook y plataformas sociales en general.
“El enfoque de los varios anuncios de Facebook parece ser proteger los datos de las personas de desarrolladores terceros, pero el cambio no va al punto de proteger a las personas del propio Facebook. Con uno o dos excepciones del alto perfil. Las políticas de Facebook no prometen detener la recolección de datos o detener su almacenamiento”, dijo Gebhart.