¿Es usted una de las 533 millones de personas que recibieron Facebook? – Krebs sobre seguridad


Los indocumentados filtraron datos personales, incluidos números de teléfono, de unos 553 millones Fb usuarios esta semana. Facebook dice los datos se recopilaron antes de 2020 cuando cambió las cosas para evitar que dicha información se extraiga de los perfiles. En mi opinión, esto solo refuerza la necesidad de eliminar los números de teléfono móvil de todas sus cuentas en línea siempre que sea posible. Mientras tanto, si eres un Fb producto usuario y desea saber si sus datos se filtraron, existen formas fáciles de averiguarlo.

El HaveIBeenPwned proyecto, que recopila y analiza cientos de volcados de bases de datos que contienen información sobre miles de millones de cuentas filtradas, incorporó los datos a su servicio. Los usuarios de Fb pueden ingresar el número de teléfono móvil (en formato internacional) asociado con su cuenta y ver si esos dígitos fueron expuestos en el nuevo volcado de datos (HIBP no le muestra ningún dato, solo le da un sí / no sobre si sus datos se muestran arriba).

El número de teléfono asociado con mi última cuenta de Fb (que eliminé en enero de 2020) no estaba en HaveIBeenPwned, pero, de nuevo, Fb afirma tener más de 2.700 millones de usuarios activos mensuales.

Parece que gran parte de esta foundation de datos ha estado dando vueltas al ciberdelito clandestino de una forma u otra desde el verano pasado, al menos. De acuerdo a una publicación de Twitter del 14 de enero de 2021 de Alon Gal de Under the Breach, la foundation de datos de 533 millones de cuentas de Facebook se puso a la venta por primera vez en junio de 2020, y ofrece datos de perfil de Fb de 100 países, incluidos nombre, número de teléfono móvil, género, ocupación, ciudad, país y estado civil.

Bajo la brecha también dijo en enero que alguien había creado un bot de Telegram que permitía a los usuarios consultar la base de datos por una tarifa baja y que permitía a las personas encontrar los números de teléfono vinculados a una gran cantidad de cuentas de Facebook.

Anuncio de un foro de ciberdelincuencia de junio de 2020 que vende una base de datos de 533 millones de usuarios de Fb. Imagen: @UnderTheBreach

Es posible que muchas personas no consideren su número de teléfono móvil como información privada, pero hay un mundo de miseria que los malos, los acosadores y los repugnantes pueden visitar en su vida con solo conocer su número de teléfono móvil. Seguro que podrían llamarte y acosarte de esa manera, pero es más probable que vean cuántas de tus otras cuentas, en los principales proveedores de correo electrónico y sitios de redes sociales como Fb, Gorjeo, Instagram, p.ej. – confíe en ese número para restablecer la contraseña.

A partir de ahí, el objetivo está preparado para un ataque de intercambio de SIM, en el que los ladrones engañan o sobornan a los empleados de las tiendas de teléfonos móviles para que transfieran la propiedad del número de teléfono del objetivo a un dispositivo móvil controlado por los atacantes. A partir de ahí, los delincuentes pueden restablecer la contraseña de cualquier cuenta a la que esté vinculado ese número de teléfono móvil y, por supuesto, interceptar cualquier token único enviado a ese número para fines de autenticación multifactor.

O los atacantes se aprovechan de algún otro problema de privacidad y seguridad en la forma en que se manejan los mensajes de texto SMS. El mes pasado, un investigador de seguridad mostró lo fácil que era abusar de los servicios destinados a ayudar a las celebridades a administrar sus perfiles de redes sociales para interceptar mensajes SMS para cualquier usuario móvil. Esa debilidad supuestamente ha sido reparada para todos los principales proveedores de servicios inalámbricos ahora, pero realmente te hace cuestionar la cordura true de confiar en el equivalente de World-wide-web de las postales (SMS) para manejar de forma segura información bastante sensible.

Mi consejo ha sido durante mucho tiempo eliminar los números de teléfono de sus cuentas en línea siempre que pueda y evitar seleccionar SMS o llamadas telefónicas como segundo component o códigos únicos. Los números de teléfono nunca fueron diseñados para ser documentos de identidad, pero en eso se han convertido efectivamente. Es hora de que dejemos de permitir que todos los traten de esa manera.

Cualquier cuenta en línea que valore debe protegerse con una contraseña única y segura, así como con la forma más sólida de autenticación multifactor disponible. Por lo common, esta es una aplicación móvil como Authy o Google Authenticator que genera un código de un solo uso. Algunos sitios como Twitter y Fb ahora admiten opciones aún más sólidas, como las llaves de seguridad físicas.

Eliminar su número de teléfono puede ser aún más importante para cualquier cuenta de correo electrónico que pueda tener. Regístrese con cualquier servicio en línea, y es casi seguro que requerirá que proporcione una dirección de correo electrónico. En casi todos los casos, la persona que tiene el command de esa dirección puede restablecer la contraseña de cualquier servicio o cuenta asociados, simplemente solicitando un correo electrónico de restablecimiento de contraseña.

Desafortunadamente, muchos proveedores de correo electrónico aún permiten a los usuarios restablecer las contraseñas de sus cuentas enviando un enlace por mensaje de texto al número de teléfono registrado para la cuenta. Por lo tanto, elimine el número de teléfono como respaldo para su cuenta de correo electrónico y asegúrese de que se seleccione un segundo variable más sólido para todas las opciones de recuperación de cuenta disponibles.

Aquí está la cuestión: la mayoría de los servicios en línea requieren que los usuarios proporcionen un número de teléfono móvil al configurar la cuenta, pero no requieren que el número permanezca asociado con la cuenta una vez establecida. Aconsejo a los lectores que eliminen sus números de teléfono de las cuentas siempre que sea posible y que aprovechen una aplicación móvil para generar códigos únicos para la autenticación multifactor.

¿Por qué KrebsOnSecurity eliminó su cuenta de Facebook a principios del año pasado? Claro, podría tener algo que ver con el incesante flujo de violaciones, filtraciones y traiciones a la privacidad por parte de Fb a lo largo de los años. Pero lo que realmente me molestó fue la cantidad de personas que se sintieron cómodas compartiendo información extraordinariamente sensible conmigo en cosas como Fb Messenger, mientras esperaban que yo pudiera dar fe de la privacidad y seguridad de ese mensaje solo en virtud de mi presencia en la plataforma. .

En caso de que los lectores quieran ponerse en contacto por cualquier motivo, mi correo electrónico aquí es krebsonsecurity en gmail punto com, o krebsonsecurity en protonmail.com. Yo tambien respondo al Krebswickr en la plataforma de mensajería cifrada Wickr.





Enlace a la noticia first