Vinny Troia, un investigador de ciberseguridad especializado en la dark web ha sido el descubridor de una filtración masiva de datos récord: información personal de 1.200 millones de personas se encontraba fácilmente accesible en una base de datos de 4 TB que ya ha sido eliminada.
Fue al pasado 16 de octubre cuando Troia y Bob Diachenko descubrieron un servidor que contenía 4.000 millones de cuentas de usuarios. Tras un recuento de personas únicas, determinaron que se encontraban frente a una filtración que afectaba a 1.200 millones de usuarios, siendo con toda probabilidad una de las mayores filtraciones de la historia.
De acuerdo con su testimonio, la información contenida en esta base de datos ahora ilocalizable incluía nombres, direcciones de correo electrónico, números de teléfono, datos profesionales y currículum de LinkedIn e información de Facebook. Los datos, además, procedían parcial y aparentemente de dos empresas de datos diferentes. Ambas compañías dedicadas al data enrichment o enriquecimiento de datos, aunque niegan que se trate de una filtración y todo aparece apuntar que se trataría de datos adquiridas a las mismas de forma lícita.
El quid de la cuestión: la extracción de datos
Una persona va dejando a lo largo de su vida diferentes datos en internet consciente o inconscientemente. Algunos de forma privada, que en teoría no salen de las cuatro paredes imaginarias que pueden constituir la privacidad de una servicio en línea, y otras de forma pública, en redes sociales más o menos abiertas al público en general y/o a los usuarios de la propia plataforma.
La información de este segundo tipo es la que contenía en parte, muy bien recopilada y organizada, esta filtración. "Esta es la primera vez que veo todos estos perfiles de medios sociales recopilados y fusionados con información de perfil de usuario en una sola base de datos a esta escala", asegura Troia a Wired. "Desde la perspectiva de un atacante, si el objetivo es hacerse pasar por personas o secuestrar sus cuentas, tienes nombres, números de teléfono y URL de cuentas asociadas. Es mucha información en un solo lugar para empezar".
Otro investigador de ciberseguridad, Troy Hunt, destaca que lo más preocupante de estos datos expuestos es que "el agregador de datos haya obtenido y utilizado información personal de una manera que el propietario de los datos (es decir, yo) no ha consentido". "No se trata de cuán públicos pueden ser los datos a través de los canales que la gente elige para publicarlos, sino más bien del uso de los datos fuera de su contexto previsto".
El verdadero problema va más allá de la preocupación que genera saber que hay ciertos datos siendo extraídos por determinados tipos de empresa sin que lo sepamos. Lo grave es que esos datos, pese a la seguridad que puedan ofrecer estas empresas, una vez son vendidos escapan del control de estas compañías y, por supuesto, todavía más del nuestro. "Mis datos —casi con toda seguridad también los tuyos— son replicados, mal manejados y expuestos y no hay absolutamente nada que podamos hacer al respecto", dice Hunt, al margen de rellenar los formularios de exclusión voluntaria que ofrecen este tipo de empresas.
Ver 4 comentarios