Tras el escándalo de privacidad del caso Cambridge Analytica, Facebook inició una auditoría a las aplicaciones de terceros que operan en su plataforma. Mientras que el proceso sigue en curso ya se han suspendido alrededor de 200 apps y está sacando a la luz muchas fallas en la seguridad de los usuarios. El más reciente y preocupante: la filtración durante años de la app Quiz con información de 120 millones de usuarios, informa “TechCrunch”.
El CEO de Facebook, Mark Zuckerberg, se comprometió a investigar “todas las aplicaciones que tenían acceso a grandes cantidades de información antes de que cambiemos nuestra plataforma para reducir drásticamente el acceso a datos en 2014, y realizaremos una auditoría completa de cualquier aplicación con actividad sospechosa”. Es así que en medio del alboroto por Cambridge Analytica se descubrió el caso de Quiz, una app de cuestionario.
Quiz contaba con 120 millones de usuarios mensuales. Su falta fue descubierta a finales de abril y enmendada solo un mes después. El problema para Facebook se materializaría si no revela a los usuarios afectados que su información personal estuvo en peligro, así es al menos en Europa mediante la ley de regulación GDPR que entró en vigor el pasado 25 de mayo -y la solución llegó en junio-.
Antes que la auditoria revelara el fallo a la privacidad, un investigador de seguridad encontró el yerro. Haciendo llamar como el 'hacker' Inti De Ceukelaire, explicó en un informe que buscó abusadores de datos en Facebook con el objetivo de obtener una recompensa prometida por la red social a quienes denunciaran estos hechos. Empezó buscando que apps de terceros usaban sus amigos de la red social: Quiz era una de las más populares.
Quiz ya tenía fama de 'traficar' con datos. Así lo entendió De Ceukelaire. Tomó la app de la marca NameTests.com y encontró pronto que la empresa estaba exponiendo los datos de usuarios de Facebook a “cualquier tercero que lo haya solicitado”. Lo hacía en un archivo javascrito, lo que exponía potencialmente la identificación, ficha personal y otros datos registrados en los usuarios de Facebook a cualquier sitio web.
También encontró que ofrecía un token de acceso para tener a disposición permisos de acceso a datos aún más extensos, como publicaciones, fotos y amigos en la red social. Dependía del tipo de cuestionario de la aplicación para que pudiera recoger información diferente de los usuarios. Y estos han estado expuesto desde al menos finales de 2016. Mientras que NameTests se presenta como “nuestro objetivo es simple: ¡hacer sonreír a la gente!” Agregando que sus pruebas tienen la intención de ser un poco 'divertidas'“.
Así, cuando un usuario realizaba un test del tipo “qué personaje de Dragon Ball eres”, lo que hacía era ofrecer su información personal. Según De Ceukelaire, la empresa seguiría revelando información de usuarios incluso después de que se borre su aplicación. Para evitar esto, las personas tendrían que eliminar manualmente las cookies de su dispositivo, ya que NameTests no ofrece la opción de cerrar sesión.
Tanto como De Ceukelaire y “TechCrunch” se pusieron en contacto con NameTests para tratar el tema. La matriz de esta, la empresa alemana Social Sweethearts, dijo en un comunicado que trató cuidadosamente el tema y que “la investigación encontró que no había evidencia de que los datos personales de los usuarios fueran revelados a terceros no autorizados y más aún que no había evidencia de que se hubiera usado indebidamente”.
Mientras que Social Sweethearts dijo que está tomando medidas para evitar riesgos futuros, Facebook dijo que realizaría su propia investigación cuando alertado por De Ceukelaire el pasado 30 de abril. La red social, al ser consultada semanas más tarde, solo atinó a explicar que tardaría de tres a seis meses en terminar su labor. Para el 25 de junio, NameTests había cerrado el acceso a los datos expuestos. Dos días después, la red social admitió el error.
“Esto [el error] podría haber permitido a un atacante determinar los detalles de un usuario conectado a la plataforma de Facebook”, dijo la red social. También dijo que cruzó información con NameTests para confirmar que el problema fue resuelto. Mientras que las aplicaciones de esta empresa siguen funcionando en la red social, lo que significa que no se le encontró evidencia de actividad sospechosa como sí en las apps que fueron bloqueadas.
Finalmente, la red social pagó una recompensa doble de US$4 mil a una organización benéfica, según su programa de recompensa por errores en el abuso de datos. Esto a solicitud de De Ceukelaire.