• +54 (011) 4323-9362
  • |
  • de Lun a Vie de 9 a 17 hs
  • |
  • ciberseguridad@ba-csirt.gob.ar
06 nov
FB reconoció que 100 desarrolladores accedieron a datos de usuarios sin permiso

“Aunque no hemos visto evidencia de abuso, les pediremos que eliminen cualquier dato de miembros que hayan retenido y realizaremos auditorías para confirmar que se ha eliminado”, destacó la compañía.

¿Cuántas veces has escuchado la frase “acceso a datos personales sin consentimiento”?

Hoy vamos a hablar justamente de eso. Se trata de Facebook, que confirmó a través de un comunicado que hasta cien desarrolladores pudieron ingresar a nombres y fotos de perfiles de usuarios por medio de un privilegio que había sido eliminado el año pasado.

En abril de 2018, la plataforma digital modificó algunos accesos a desarrolladores para limitar la cantidad de datos que salen fuera de la compañía. En ese sentido, los restringió y en algunos casos directamente les sacó el acceso a las API de Grupos (Groups API), una herramienta de integración que permite crear y leer datos de grupos de Facebook.

Hasta ese momento, los administradores del grupo podían autorizar una aplicación para un grupo, lo que le brindaba acceso al desarrollador de dicha app para obtener información del grupo.

Pero luego de las modificaciones realizadas en la API de Grupos, si un administrador permite el acceso, esa plataforma solo puede ver ciertos datos, como el nombre del grupo, el número de usuarios y el contenido de las publicaciones.

Para que una app acceda a información adicional, como el nombre y la imagen de perfil en relación con la actividad del grupo, los miembros de ese grupo deben prestar previamente su consentimiento.

“Como parte de nuestra revisión en curso, recientemente descubrimos que algunas aplicaciones conservaron el acceso a la información de los miembros del grupo, como los nombres y las imágenes de perfil en relación con la actividad del grupo, desde la API de Grupos, durante más tiempo del que pretendíamos. Desde entonces hemos eliminado su acceso”, manifestó la red social en su comunicado.

De acuerdo con la empresa, unos 100 desarrolladores pudieron haber accedido a esa información post restricción en la API. Concretamente, mencionaron que al menos 11 socios tuvieron acceso a la información de los miembros del grupo en los últimos 60 días.

“Aunque no hemos visto evidencia de abuso, les pediremos que eliminen cualquier dato de miembros que hayan retenido y realizaremos auditorías para confirmar que se ha eliminado”, destacó la compañía.

Si bien no se expresa puntualmente cuáles fueron las plataformas que habrían ingresado a esos datos, se mencionó que se trata de servicios de gestión de redes sociales y transmisión de video diseñados para facilitar a los administradores la gestión de sus grupos.

“Por ejemplo, si una empresa administra una gran comunidad que consta de muchos miembros en múltiples grupos, podrían usar una aplicación de administración de redes sociales para proporcionar servicio al cliente, incluidas respuestas personalizadas, a escala. Pero si bien este acceso proporcionó beneficios a las personas y grupos en Facebook, tomamos la decisión de eliminarlo y seguimos ese enfoque”, se especificó en el artículo.

Luego del escándalo de Cambridge Analytica, Facebook comenzó a implementar medidas de seguridad y revisión más rigurosas. Informa con frecuencia cada vez que se detecta alguna filtración, falla o incumplimiento.

De hecho, en el comunicado, la red social hace hincapié en que estas revisiones e informes se dan en el marco del acuerdo que tiene la compañía con la Comisión Federal de Comercio de Estados Unidos (FTC)

En julio, la compañía llegó a un acuerdo con la FTC que implicó, por una parte, el desembolso de una multa récord de USD 5 mil millones y, por otra, una reparación de sus prácticas para cuidar la privacidad de los consumidores.

Y en referencia a esa última cuestión, se creó un comité independiente dentro de la junta de directores de Facebook para observar las decisiones que se hacen en relación a la privacidad de los usuarios.

Por otro lado, se requiere que un asesor independiente evalúe la efectividad del programa de privacidad de la compañía.

Mark Zuckerberg será quien tenga que certificar trimestralmente que Facebook está cumpliendo con el nuevo programa de privacidad, caso contrario, será sometido a penalidades.

Referencia:

www.infobae.com/america/tecno/2019/11/06/facebook-reconocio-que-100-desarrolladores-pudieron-acceder-a-datos-de-usuarios-sin-permiso/

Tu opinión nos ayuda a seguir creciendo.

Seleccioná la cantidad de estrellas que consideres apropiada.

BA-CSIRT, ¿cómo reportar un indicente de ciberseguridad?