«¿Qué princesa Disney eres?» Esta es una de las inocentes preguntas con las que NameTest, una aplicación que diseña este tipo de test de personalidad para Facebook, abrió un agujero de privacidad que ha afectado a 120 millones de usuarios. Facebook ha reconocido el fallo y ha recompensado al hacker ético que ha informado de la situación, Inti De Ceukelaire.
NameTest solicitaba a los miembros de la red social acceso a sus datos personales para realizar sus cuestionarios. De Ceukelaire descubrió que un error en esta app permitía que cualquiera pudiera acceder a esa información, que incluye nombres de los usuarios, fechas de nacimiento, amigos y las publicaciones y estados. Además, el acceso a los datos continuaba habilitado aunque el usuario borrara NameTest, y solo era posible revocarlo borrando manualmente las cookies.
«Abusando de este defecto, los anunciantes podrían haber dirigido anuncios (políticos) basados en sus publicaciones en Facebook y sus amigos», explica el hacker ético en un post donde ha comunicado cómo descubrió la vulnerabilidad haciendo el mismo test. Se trata de un proceso similar al que uso Cambridge Analytica para acceder a los datos de 87 millones de usuarios y manipular las elecciones de EEUU. En el caso de NameTest, el agujero ha estado abierto al menos desde 2016.
El hacker también ha publicado un vídeo donde explica cómo descubrió el fallo
De Ceukelaire informa que notificó a Facebook la existencia del agujero el 22 de abril, pero desde la red social admitieron que podían tardar de tres a seis meses en cerrarlo. También lo comunicó a NameTest, que el pasado 25 de junio le avisó de que había corregido el error e impedido que esa información fuera accesible para terceros. Ni Facebook ni NameTest han informado del número exacto de usuarios afectado, pero la aplicación tiene 120 millones de usuarios y un gran éxito a la hora de lograr que los usuarios compartan sus datos personales con ella.
«Otros sitios web podrían haber abusado de este defecto para chantajear a sus visitantes, amenazando con filtrar su astuto historial de búsqueda a sus amigos», avisa De Ceukelaire, que se dedica a descubrir y notificar este tipo de agujeros. Aunque se muestra optimista por haber podido colaborar para cerrar una brecha de privacidad en Facebook, también ha criticado la «facilidad» con la que se han expuesto datos de «cientos de millones de usuarios»: «Podemos y debemos hacerlo mejor».
«Para estar seguros, revocamos los permisos de acceso para todos los usuarios de Facebook que se hayan registrado para usar esta aplicación», ha afirmado la red social en un comunicado de su división dedicada a recibir este tipo de soplos. Siguiendo el procedimiento que puso en marcha tres días antes de que De Ceukelaire notificara el fallo, Facebook recompensó al hacker con 4.000 dólares: «Apreciamos el trabajo de Inti para identificar este problema y la acción rápida de Social Sweethearts —la desarrolladora responsable de NameTest— para arreglarlo».
De Ceukelaire anunció entonces de que donaría esa cantidad a Freedom Of The Press Foundation, dedicada entre otros proyectos a apoyar a los whistleblowers que se exponen al informar de este tipo de usos irresponsables y opacos de la tecnología. Facebook dobló la recompensa tras su decisión.
El descubrimiento de De Ceukelaire refuerza lo que muchos expertos avisaron tras el escándalo de Cambrige Analytica: aquella filtración no fue más que la punta del iceberg, puesto que Facebook tiene un control muy escaso de lo que ocurre con los datos personales de sus usuarios cuando terceros como NameTest consiguen el acceso a ellos.