Según un reporte de una firma de seguridad en la nube, dos bases de datos con más de 300 millones de registros de usuarios de Facebook fueron encontradas expuestas en Internet al alcance de cualquier persona. La firma de seguridad Comparitech, en colaboración con el investigador Bob Diachenko, se encargó del reporte del incidente, que involucra dos implementaciones de Elasticsearch. Aunque la investigación sigue en curso, el experto cree que lo más probable es que esta información fuera recolectada gracias a actividades abusivas de búsqueda de datos en redes sociales ligadas a grupos de cibercriminales con sede en Vietnam.
Entre los detalles comprometidos se encuentran IDs de usuarios de Facebook, nombres y números telefónicos vinculados a las cuentas. Los actores de amenazas podrían emplear esta información para desplegar campañas de phishing, envío masivo de SMS spam e incluso algunas variantes de fraude de identidad. Aunque los investigadores reportaron de inmediato su hallazgo, señalaron que la base de datos ya había sido compartida en un foro de hacking.
Los miembros de la firma de seguridad en la nube mencionan que, inicialmente fue encontrada una base de datos con más de 260 millones de registros. Pocos días después, los investigadores encontraron una segunda implementación de Elasticsearch expuesta, que contenía más de 42 millones de registros, por lo que el incidente ha alcanzado casi 310 millones de registros expuestos.
Es un protocolo en la comunidad de la ciberseguridad emitir el reporte a la compañía propietaria de la base de datos cuando un investigador realiza un hallazgo de esta naturaleza. Sin embargo, debido a que los investigadores consideran que esta base de datos es administrada por un grupo cibercriminal, los investigadores se enfocaron en tratar de identificar las direcciones IP asociadas a las bases de datos, menciona la firma de seguridad en la nube.
Todavía no está claro cómo es que los cibercriminales obtuvieron acceso a los números telefónicos de los usuarios de Facebook afectados. El Instituto Internacional de Seguridad Cibernética (IICS) considera que una posibilidad es que la información fuera extraída de la API de un desarrollador de Facebook antes de que la red social restringiera el acceso a estos datos.
Cabe señalar que los desarrolladores externos a Facebook tenían acceso a esta información antes de que la compañía actualizara sus políticas en 2018, por lo que estos datos podrían estar desactualizados.