Encuentran millones de registros de Facebook en servidores de Amazon Cloud Services

Investigadores de UpGuard, una compañía de seguridad cibernética, descubrieron grandes cantidades de información de usuarios, sin darse a conocer públicamente, en los servidores de computación en la nube de Amazon Inc.

Este descubrimiento muestra de un año después de que el escándalo de Cambridge Analytica expusiera cómo la información no segura y ampliamente difundida de los usuarios de Facebook está en línea, las compañías que controlan dicha información en cada paso no hacen lo suficiente para ocultar los datos privados.

En otro caso, la empresa de medios de comunicación Cultuta Colectiva, con sede en la Ciudad de México, almacenó de forma abierta 540 millones de registros de usuarios de Facebook, incluyendo números de identificación, comentarios, reacciones y nombres de cuentas. Esa base de datos fue cerrada el miércoles, luego de que Bloomberg alertara a Facebook sobre el problema y Facebook se pusiera en contacto con Amazon. Las acciones de Facebook bajaron de precio luego del reporte.

Otra base de datos llamada At the Pool, cuenta con nombres, contraseñas y direcciones de correo electrónico de 22 mil personas. UpGuard no sabe cuánto tiempo ha estado expuesta dicha información, ya que la base de datos se volvió inaccesible mientras la compañía estaba investigando.

Facebook compartió este tipo de información libremente con desarrolladores externos por años, antes de tomar medidas más recientes. El problema del almacenamiento público accidental podría ser más extenso que esos dos casos. UpGuard encontró 100,000 bases de datos abiertas alojadas en Amazon para varios tipos de datos, algunos de los cuales se espera que no sean públicos.

«El público aún no se da cuenta de que estos administradores y desarrolladores de sistemas de alto nivel, las personas que custodian estos datos, están siendo arriesgados o perezosos o están recortando esquemas. No se está poniendo suficiente cuidado en el lado de seguridad de big data», dijo Chris Vickery, director de investigación de riesgo cibernético en UpGuard.

Facebook permitió por muchos años que cualquiera que hiciera una aplicación en su sitio obtuviera información sobre las personas que la utilizan y los amigos de esos usuarios. Una vez que los datos están fuera de las manos de Facebook, los desarrolladores pueden hacer lo que quieran con ellos.

Hace un año aproximadamente, el Director Ejecutivo de Facebook, Mark Zuckerberg, estaba preparándose para testificar ante el Congreso sobre un ejemplo particular; un desarrollador que entregó datos sobre decenas de millones de personas a Cambridge Analytica, la consultora política que ayudó a Donald Trump en su campaña presidencial. Esa única instancia ha llevado a investigaciones gubernamentales en todo el mundo y amenazas de mayor regulación para la compañía.

El año pasado, Facebook comenzó una auditoría de miles de aplicaciones y suspendió cientos hasta que pudieron asegurarse de que no estaban manejando mal los datos de los usuarios. Facebook ahora ofrece recompensas para los investigadores que encuentren problemas con sus aplicaciones de terceros.

Un portavoz de Facebook informó que las políticas de la compañía prohíben almacenar información de Facebook en una base de datos pública. Una vez que se alertó sobre el problema, Facebook trabajó con Amazon para eliminar las bases de datos, dijo el portavoz, y agregó que Facebook está comprometido a trabajar con los desarrolladores en su plataforma para proteger los datos de las personas.

En el conjunto de datos de Cultura Colectiva, que totalizó 146 GB, fue difícil para los investigadores saber cuántos usuarios únicos de Facebook se vieron afectados. UpGuard también tuvo problemas para cerrar la base de datos. La firma envió correos electrónicos a Cultura Colectiva y Amazon durante muchos meses para alertarlos sobre el problema. No fue hasta que Facebook contactó con Amazon que se solucionó la filtración. Cultura Colectiva no respondió a solicitudes de comentarios por parte de Bloomberg.

Este último ejemplo muestra cómo los problemas de seguridad de los datos pueden ser amplificados por otra tendencia: la transición que muchas compañías han hecho de ejecutar operaciones predominantemente en sus mismos centros de datos a servicios de computación en la nube operados por Amazon, Microsoft Corp., Alphabet Inc., y otros.

Esas empresas tecnológicas han creado negocios de miles de millones de dólares al facilitar a las compañías la ejecución de aplicaciones y el almacenamiento de datos, desde documentos corporativos a información de empleados, en servidores remotos.

Los programas como el Servicio de Almacenamiento simple de Amazon Web Services, esencialmente un disco duro con acceso a Internet, ofrecen a los clientes la opción de hacer que los datos sean visibles solo para la persona que los subió, otros miembros de su empresa o cualquier otra persona en línea. A veces, esa información está diseñada para ser pública, como en el caso de un caché de fotos u otras imágenes almacenadas para su uso en un sitio web corporativo.

En los últimos dos años, Amazon ha reforzado los protocolos para evitar que los clientes expongan materiales delicados, agregue avisos de advertencia prominentes, haga que las herramientas para que los administradores apaguen más fácilmente todos los artículos de cara al público, y ofrezcan de forma gratuita lo que antes era un complemento pagado.

«Originalmente habría puesto mucho de esto en AWS», dijo Corey Quinn, quien es asesor de empresas que utilizan la nube de Amazon en el Duckbill Group, una firma de consultoría.

Amazon no es la única compañía que periódicamente se ve atrapada en casos de registros privados que se hacen públicos por error. Pero tiene una amplia ventaja en el negocio de vender el almacenamiento de datos alquilado y la potencia informática, poniendo de relieve las prácticas de la empresa con sede en Seattle.