Una API de Facebook permite acceder de forma masiva a datos de usuarios
Un ingeniero de software descubre cómo utilizar el número de teléfono para llegar a datos como imágenes o nombres de usuarios a gran escala.
Tan sencillo como adivinar los números de teléfono de los usuarios que lo tienen enlazado. Esta es la manera en la que un ingeniero de software ha conseguido recoger datos de miles de cuentas de Facebook de forma masiva, lo que podría hacer replantearse a la red social su configuración de privacidad.
El desarrollador Reza Moaiandin comenzó por buscar usuarios a través de los números de teléfono, generados con un simple algoritmo. La opción de encontrar así gente es poco conocida y por defecto está activada como pública, incluso aunque los usuarios que hayan vinculado el número a la cuenta hayan elegido que no aparezca en su perfil. Moaiandin fue capaz de generar miles de números por segundo y enviarlos a la API de Facebook, una herramienta que permite a los desarrolladores construir apps enlazadas a la red social.
En cuestión de minutos obtuvo los resultados que coincidían con los números, con información pública de perfil de los usuarios. El problema, según destaca The Guardian, no es que la información que se encuentre sea confidencial, sino el hecho de enlazar los perfiles a los números a una escala tan amplia, que genera un enorme agujero de seguridad en la red social.
Los expertos de seguridad consultados por el diario han apuntado que esto permitiría a los hackers construir enormes bases de datos de usuarios de Facebook, que se venderían en los mercados negros de internet. El ingeniero que descubrió el fallo avisó a la empresa primero en abril y después a finales de julio. Desde Facebook le han respondido que no lo consideran una vulnerabilidad pero que “hacen los controles necesarios para monitorizar y mitigar el abuso”. Además, ha enfatizado que tienen reglas estrictas sobre el uso que los desarrolladores hacen de su API.