Hace algunos dias se ha publicado aproximadamente 533 millones de registros asociados a usuarios de Facebook, de los cuales casi 7 millones corresponden a chilenos. A continuación analizaremos los datos publicados.

La Exposición de Datos

De acuerdo a diversas fuentes, a comienzos del año 2020 Facebook había anunciado la corrección de una vulnerabilidad que permitia acceder a información de otros usuarios. Mientras la vulnerabilidad estuvo vigente, alguien logró realizar una extracción masiva de datos logrando generar una base de datos con 533 millones de registros, en los que podemos encontrar datos como el número móvil, nombre, sexo, estado civil y en algunos casos un correo electrónico y su fecha de nacimiento. Adicionalmente, es posible conocer dónde trabaja cada persona en caso de que el usuario tenga esa información publicada en su perfil.

Los archivos se encuentran publicados en diversas fuentes, las cuales no revelaremos en este post.

Análisis de los datos de Chile

Al descargar la información correspondiente a Chile, se logra determinar que hay un total de 8.889.082 registros. Sólo un 0.75% (52.323) de las personas publica su dirección email. Un 94% (6.507.633) publica información sobre su género, mientras que un 22% (1.580.233) expone su estado civil en esta red social.
Un 44.86%, es decir cerca de 3 millones de personas, expone su ubicación y un 23% información relacionada a su empleo.

La información relacionada con Chile se extrae mediante el número móvil que la persona tiene registrada en su cuenta de Facebook. Los de Chile comienzan con +56 y en base este dato es posible filtrar por país.

Recomendaciones

De acuerdo a la información analizada, las contraseñas no han sido expuestas. Sólo ha sido expuesta información de contacto y del perfil de los usuarios. Desafortunadamente, mucha información de la que fue expuesta no es posible cambiarla o bien no es tan trivial como un posible cambio de password.

No queda más que recomendar a los usuarios afectados que esten atentos a posibles estafas que puedan surgir mediante la publicación de estos datos y revisar en detalle la información que estamos entregando en las distintas plataformas.

Si te interesa revisar si tu perfil está dentro de los afectados, @adderou ha desarrollado una herramienta que permite verificarlo. Puedes revisarlo en el siguiente enlace:

https://fb.xor.cl/

Comunicado Oficial

Hasta la fecha no hay pronunciamiento oficial de Facebook respecto a esta filtración.

De acuerdo a un comunicado oficial de Facebook, se confirma que los datos fueron obtenidos aprovechandose de una funcionalidad mal diseñada, es decir, una debilidad del sistema. El atacante aprovechó dicha funcionalidad para poder automatizar la extracción masiva de información.

Obviamente, si hay una funcionalidad mal diseñada, que expone datos que supuestamente deben estar protegidos y no cuenta con los mecanismos básicos para prevenir su extracción masiva, es un vulnerabilidad o bien una debilidad, que Facebook lo intenta esconder tras un “abuso de funcionalidad“.

Aún cuando indican que no es una vulnerabilidad, solucionaron el problema.

Referencias

In early 2020 a vulnerability that enabled seeing the phone number linked to every Facebook account was exploited, creating a database containing the information 533m users across all countries.

It was severely under-reported and today the database became much more worrisome 1/2 pic.twitter.com/ryQ5HuF1Cm

— Alon Gal (Under the Breach) (@UnderTheBreach) January 14, 2021

533 million Facebook users’ phone numbers leaked on hacker forum – @LawrenceAbramshttps://t.co/oj2BqF92Fs

— BleepingComputer (@BleepinComputer) April 3, 2021