Se ha hecho púbica la consecuencia de una de las mayores brechas de seguridad de la historia de Facebook, dejando expuestos los datos personales de 533 millones de usuarios. A diferencia de otras brechas, donde se han filtrado direcciones de correo electrónico, esta vez hay datos tan sensibles como nombre completo, número de teléfono, fecha de nacimiento, identificador de Facebook, ubicaciones presentes y pasadas, estado civil y bio.
Entre tanto dato filtrado, existen 10,89 millones de números de teléfonos españoles junto al nombre de la cuenta, o lo que es lo mismo, se han filtrado datos muy sensibles de casi una de cada cuatro personas del país. Los datos de la brecha se han publicado gratuitamente ahora en un foro de hacking, pero llevan meses vendiéndose incluso en bots de Telegram.
Facebook ha confirmado a Business Insider que los datos de la brecha fueron obtenidos debido a una vulnerabilidad que la compañía tuvo en 2019, y que ya fue parcheada. En septiembre de aquel año publicamos que un investigador había descubierto una filtración de más de 400 millones de usuarios, que por características, cuadra perfectamente con la publicación de esta información.
All 533,000,000 Facebook records were just leaked for free.
— Alon Gal (Under the Breach) (@UnderTheBreach) April 3, 2021
This means that if you have a Facebook account, it is extremely likely the phone number used for the account was leaked.
I have yet to see Facebook acknowledging this absolute negligence of your data. https://t.co/ysGCPZm5U3 pic.twitter.com/nM0Fu4GDY8
De momento no es posible saber si nuestro teléfono está en la base de datos
Pese a que la base de datos es vieja, en uno de los tuits de enero de @UnderTheBreach, una de las cuentas que informó el 3 de abril de que la base de datos ahora se ofrecía gratuitamente, se contaba que una vulnerabilidad de 2019 permitía ver el número de teléfono asociado con cada cuenta de Facebook, generando esa base de 533 millones de usuario.
Troy Hunt, creador de have i been pwned ha estado repasando el caso, y comenta que haciendo una búsqueda en los 108 archivos que contiene la filtración que ahora se ofrece gratis, se han encontrado 2,5 millones de direcciones de correo expuestas. De esas 2,5 millones de direcciones de correo obtenidas, 75.758 son españolas y están en texto plano junto a los casi 11 millones de números, según ha comprobado Genbeta. De momento es lo único que se puede comprobar en dicha web, y no los números de teléfono, por lo que la web no es tan útil en esta ocasión (por el momento)
Email parsing now done, found 2,529,621 unique addresses across the 108 files. Call it about 0.5% of all records having an email address.
— Troy Hunt (@troyhunt) April 4, 2021
Así, en este caso son mucho más útiles los 533 millones de números de teléfono (de los que Hunt menciona haber encontrado algo menos, unos 370 millones, tras haber analizado los archivos de la base de datos de los hackers). Aunque no son una variable tan usada por hackers, como Hunt recuerda, tener los números de tanta gente es muy útil para estafas y otros tipos de prácticas maliciosas. Este investigador tiene dudas sobre si subir la base de datos de teléfonos a la web o no.
De hecho, son los números de móvil de muchos españoles los que se están usando para tratar de engañar con la estafa SMS Flubot, basada en recopilar muchos números para luego enviarles mensajes alertándoles de que tienen paquetes de FedEx, DHL, Correos o MRW pendientes de recoger.
Ver 2 comentarios