Un bug en Facebook expone las direcciones de correo y los números de teléfono de 6 millones de usuarios

A pesar del arsenal de seguridad que tiene desplegado Facebook, la red social ha tenido que ver cómo la información de contacto almacenada en su infraestructura ha resultado expuesta por un bug que ha afectado a 6 millones de sus miembros.

¿De qué información de contacto estamos hablando? De correo electrónico y número de teléfono. ¿Y con que alcance han sido expuestos ambos datos? De tal forma que aquellas personas que ya tenían algún tipo de conexión con los usuarios afectados han podido acceder a ellos sin el menor esfuerzo.

“Cuando la gente carga sus listas de contactos o libreta de direcciones en Facebook, nosotros intentamos hacer coincidir dichos datos con la información de contacto de otros usuarios con el fin de generar recomendaciones de amigos”, explican desde Facebook. “Por ejemplo, no queremos recomendar que la gente invite a sus contactos a unirse si éstos ya están en Facebook, pero sí queremos recomendar que inviten a esos contactos a que sean sus amigos también en Facebook”.

Con el agujero de seguridad (ahora ya cerrado), cierta información que la red social usa para hacer recomendaciones y para reducir el número de invitaciones que cada día se envían a diestro y siniestro a través de su plataforma quedó almacenada en asociación con los datos de contacto como si formase parte de las cuentas de terceros.

Y, como resultado, si a alguien se le ocurría descargar el archivo de su cuenta de Facebook a través de la herramienta Download Your Information, descargaba también las direccione de email y los números telefónicos de gente con la que tenía algún tipo de conexión.

“Tras revisar y confirmar la exitencia del fallo, desactivamos inmediatamente la herramienta DYI para solucionar el problema y pudimos devolverla a su estado normal al día siguiente, una vez que el problema había sido solucionado”, asegura la compañía de Menlo Park, que añade que “cada dirección de correo electrónico o número de teléfono individual se incluyó en la descarga una o dos veces. Esto significa que, en casi todos los casos, una dirección de correo electrónico o número de teléfono ha sido expuesto a una sola persona”.

Al parecer otro tipo de información personal o incluso financiera no ha corrido la misma mala suerte y es tratada de forma segura.

Aunque no se tiene constancia de que el error haya sido explotado por ciberdelincuentes de forma maliciosa y tampoco se han recibido quejas por parte de los usuarios, y a pesar también de que en la práctica la información fue compartida entre gente que ya se conocía, “sigue siendo algo de lo que estamos disgutados y avergonzados”, dice la red social, por lo que a partir de ahora “trabajaremos el doble para asegurarnos de que nada igual vuelva a suceder”.