Facebook recopiló los contactos de correo electrónico de 1.5 millones de usuarios sin su conocimiento y sin su permiso cuando estos abrieron sus cuentas, reportó Business Insider.
Desde mayo de 2016, la red social más grande del mundo recopiló ‘accidentalmente’ estos datos, que ahora está eliminando.
La revelación se produce después de que un investigador de seguridad conocido por el pseudonónimo e-sushi notara que Facebook les estaba pidiendo a algunos usuarios que ingresaran sus contraseñas de correo electrónico cuando registraban nuevas cuentas, con la justificación de verificar su identidad, un movimiento ampliamente condenado por expertos en seguridad.
Si los usuarios ingresaban su contraseña de correo electrónico, aparecía un mensaje que decía que estaba “importando” sus contactos sin pedir permiso primero.
Updated this collection to now also include the latest related #Facebook scoop by @robaeprice which got pushed out today. ⚡️ “Facebook required email service password to verify during registration” by @originalesushihttps://t.co/jMeVpvld4Z
— e-sushi (@originalesushi) 18 de abril de 2019
Facebook se defendió diciendo que utilizaron los contactos para mejorar la orientación de anuncios de la red, para construir la red de conexiones sociales y recomendar amigos para agregar.
Un portavoz de la plataforma aseguró que, antes de mayo de 2016, ofrecía la opción de verificar la cuenta de un usuario con su contraseña de correo electrónico y cargar voluntariamente sus contactos al mismo tiempo. Sin embargo, dijeron, la compañía cambió la función y se eliminó el texto que informaba a los usuarios de que sus contactos se subirían, pero la funcionalidad subyacente siguió.
Facebook no accedió al contenido de los correos electrónicos de los usuarios, agregó el vocero. Pero los contactos de los usuarios aún pueden ser datos muy confidenciales, revelando con quién se comunican las personas y con quién se conectan.
Mientras que las agendas de direcciones de correo de 1.5 millones de personas fueron recopilados directamente por Facebook, el número total de personas cuya información de contacto se obtuvo de forma incorrecta puede estar en decenas o incluso cientos de millones, ya que las personas a veces tienen cientos de contactos almacenados en sus cuentas de correo electrónico.
El portavoz no pudo proporcionar una cifra para el número total de contactos obtenidos de esta manera.
Si bien algún usuario podría haber podido inferir de esto que se estaba accediendo a sus contactos, no había manera de evitar que esto sucediera.
Facebook ahora planea notificar a los 1.5 millones de usuarios afectados en los próximos días y eliminar sus contactos de los sistemas de la compañía.
“El mes pasado, dejamos de ofrecer la verificación de la contraseña de correo electrónico como una opción para que las personas verifiquen su cuenta cuando se registren en Facebook por primera vez”, según un comunicado.
Escándalo tras escándalo
El incidente es el último error en la privacidad del asediado gigante de la tecnología, que no ha dejado de estar en el escrutinio público desde el escándalo de Cambridge Analytica a principios de 2018.
En marzo de 2019, la compañía reveló que estaba almacenando inadvertidamente cientos de millones de contraseñas de cuentas de usuarios en texto sin formato, lo que las deja expuestas a personas con acceso a ciertos sistemas internos.
La falla en la seguridad se informó por primera vez el mes pasado, pero en ese momento, Facebook dijo que solo le había pasado a “decenas de miles de usuarios de Instagram”, mientras que el número ahora se está revisando a “millones”.
El problema también afectó a “cientos de millones” de usuarios de Facebook Lite y decenas de millones de otros usuarios de Facebook”.
Se supone que las contraseñas se almacenan en un formato cifrado que permite a los sitios web confirmar lo que está ingresando sin leerlo directamente.
Facebook notó el problema en enero y dijo en marzo que el problema se había resuelto. Las contraseñas se almacenaron en Facebook y fueron accesibles a más de 20,000 empleados.
Facebook dice que investigó el acceso a las contraseñas y que no encontró “evidencia de abuso o mal uso”. También dice que no se expusieron contraseñas de manera externa.
Los portavoces de la red aseguraron que se pondrán en contacto con todas las personas cuyas contraseñas de Instagram se almacenaron incorrectamente.
