(cc) MarkGregory007

Un investigador llamado Suriya Prakash denunció que la mayoría de los números de teléfono que están almacenados en Facebook no son seguros, logrando recolectar, según él, 500 millones de números y nombres de usuario del total de 600 millones de usuarios móviles que tiene la red social.

Facebook confirmó que hay una falla que permitió que Prakash lograra esto, indicando que “limitó” el problema, aunque no se sabe cuánto tiempo estuvo disponible y si no hay otros que se hayan aprovechado de la falla.

Lo que hizo Prakash fue utilizar la aplicación móvil de Facebook, donde hay una opción llamada “encontrar amigos usando contactos”, que compara la lista de contactos del teléfono con la base de datos de teléfonos del sitio, para ver si hay coincidencias de personas que estén en tu móvil, pero no en tu lista de amigos.

“Me di cuenta de que simplemente ‘buscando’ el número de una persona (incluyendo el código de país) te mostrará su cuenta”, dice Prakash.

En otras palabras, todo lo que hay que hacer es elegir un teléfono al azar, buscarlo en Facebook, y si el dueño lo permite (algo que la mayoría hace, según el investigador, porque las configuraciones de privacidad de la red social son confusas), puedes ver el perfil del dueño de ese número, lo que normalmente incluye el nombre y su foto. Prakash escribió un código para automatizar esta tarea, creando un directorio de números de teléfono y sus correspondientes dueños. Está de más decir que esto podría facilitar estafas telefónicas, por ejemplo, donde el que llama sabría tu nombre.

El investigador contactó dos veces a Facebook. En una de las respuestas, el encargado de seguridad indica: “Si la gente no quiere ser encontrada a través de su número de teléfono, pero no cambia esta configuración, ¿qué podemos hacer al respecto?”

Tras las denuncias, sin embargo, la red social limitó el número de consultas por teléfonos móviles que se pueden hacer, lo que limitaría la efectividad de un bot probando números al azar. Después de unas cien consultas, indicó Prakash, la cuenta de Facebook será suspendida por “actividad sospechosa”.

Facebook indicó que “buscar personas por números de teléfono es un comportamiento intencional y no un bug de Facebook. Por defecto, tus configuraciones de privacidad permiten que cualquiera te encuentre usando la información que has entregado, como tu dirección de correo y número de teléfono. Puedes modificar esta configuración en la página de privacidad”.

Cómo cambiar la configuración

En tu perfil de Facebook, haz clic en el botón “actualizar información” y luego busca la caja que dice “Información de Contacto”. Ahí aparecerá el celular que ingresaste (si ingresaste uno). Ahí, puedes cambiar quién puede ver tu teléfono a “solo yo”, lo que hará que cuando alguien visite tu perfil, no pueda ver el teléfono. Por defecto, la configuración permite que tus amigos lo vean.

Pero esto no es suficiente para evitar que te busquen.

Para eso, hay que ir a la “Configuración de Privacidad” que se encuentra en el menú que se despliega con la flecha hacia abajo que aparece al lado de tu nombre (esquina superior derecha de la pantalla). Luego hay que hacer clic en “Cómo conectas”.

Así es como se ve por defecto, y lo que provoca que se pueda usar una herramienta como la que creó Prakesh. Para limitarlo, puedes cambiar la opción en “¿Quién puede buscarte en Facebook usando tu dirección de correo electrónico o el número de teléfono que indicaste?” a “amigos” y ya los desconocidos no podrán buscarte.

La otra opción es eliminar el número de teléfono, lo que podría ahorrar problemas.

Link: Facebook confirms researcher collected countless phone numbers (The Next Web)