Una famosa aplicación de tests en Facebook expuso la información privada de millones de usuarios

Tras el escándalo de Cambridge Analytica y la serie de cuestionamientos que posteriormente surgieron contra la seguridad de Facebook, la compañía de Mark Zuckerberg lanzó un programa que incentiva a los usuarios a reportar abusos en el uso de datos dentro de su plataforma, todo a cambio de una recompensa monetaria.

Esto propició que el hacker Inti De Ceukelaire revisando las aplicaciones más populares de Facebook encontrara una grave falla de seguridad detrás del sitio Nametests.com, que provee gran parte de las pruebas, cuestionarios, desafíos y juegos virales que llenan la red social.

Si bien, no es una novedad que este tipo de aplicaciones acceden a muchos datos cuando los usuarios les otorgan los permisos necesarios para hacer los tests, Ceukelaire descubrió que una falla en el sitio de Nametests expuso la información por lo menos de sus 120 millones de usuarios mensuales a terceras personas.

Dependiendo del test al que hayan accedido los usuarios, Nametests habría expuesto datos como: la identificación de su cuenta de Facebook, nombre, apellido, idioma, sexo, fecha de nacimiento, foto de perfil, foto de portada, moneda, dispositivos que usa, cuándo actualizó por última vez su información, sus publicaciones y estados, sus fotos y  fotos de sus amigos. Todo sin que los usuarios fueran capaces de detectarlo.

Más aún, según señaló Ceukelaire en el sitio Medium, la información de los usuarios seguía siendo vulnerable aún cuando estos decidieran revocar los permisos y eliminar la aplicación de sus cuentas de Facebook. Lo que podría elevar la cifra de afectados.

Pese a que los distintos test de Facebook han sido duramente criticados por su masiva recolección y permisos codiciosos de datos, la filtración de información de Nametests tiene un elemento particular que deja más vulnerable la información de sus usuarios. Contrario a otras aplicaciones que recogen la información y la venden directamente a terceras personas, este sitio recolectó los datos de sus usuarios mediante javascript, un lenguaje de programación que tiene como uno de sus principios básicos la posibilidad de compartir la información con otros sitios web.

Es decir, los datos recogidos por Nametests en sus distintas pruebas, juegos y desafíos quedaron a merced de cualquiera que encontrara la falla.Exponiendo así a lo largo de sus más de dos años usando javascript datos de usuarios que superan a los 120 millones que actualmente están activos en la plataforma. Todo esto sin que desde la plataforma tengan un catastro de quienes han accedido a la información.

De momento, no hay evidencia que permita indicar si la información expuesta por Nametests efectivamente fue descubierta por terceras partes y cuantos lo descubrieron. Pero Ceukelaire asegura que para los entendidos en la materia la falla es algo muy sencillo de detectar.

Tampoco es posible establecer con claridad si desde Nametests estaban conscientes de la falla durante este tiempo, pero en sus términos de servicio se desligan de cualquier responsabilidad respecto al cuidado de la información de sus usuarios.

Desde Facebook aseguran que el problema ya está arreglado, pero de todas formas, si quieres asegurar que tu información y decides revocar el acceso de Nametests.com, es recomendable que además de borrar la aplicación de tu cuenta, también elimines manualmente las cookies de tu dispositivo ya que NameTests no ofrece una opción para cerrar sesión.

Por otra parte, el hacker que descubrió la falla creó un video explicando su funcionamiento, y lo puedes revisar a continuación:

https://youtu.be/VjbHWOwtCf0