Poco después de que una violación masiva de datos afectara a 50 millones de cuentas, en septiembre último, Facebook no creyó que el incidente necesitara ser denunciado, en virtud de la ley australiana de notificación obligatoria de violaciones.
La primera opinión de Facebook se revela en una serie de correos electrónicos entre el regulador de Australia -la Oficina del Comisionado Australiano de Información- y funcionarios de la compañía. Los correos electrónicos, que están parcialmente redactados, fueron publicados el 11 de marzo por la OAIC tras una solicitud de la Ley de Libertad de Información.
El incidente comprometió los tokens de acceso, que permiten a las personas permanecer conectadas a su cuenta. Si son robados, los tokens permitirían a un atacante acceder a la cuenta de alguien. La compañía descubrió tres errores que afectan a una característica llamada “View As” que permite a la gente ver su perfil tal y como aparece públicamente. El ataque comenzó el 14 de septiembre de 2018 y duró dos semanas.
Como resultado, Facebook invalidó los tokens de acceso para 50 millones de cuentas y otros 40 millones como precaución. Se enteró del problema el 25 de septiembre de 2018 y divulgó públicamente el incidente en una entrada del blog tres días después.
Por ley, Australia requiere que ciertos tipos de violaciones de datos, sean reportados a los reguladores y a los afectados. Las violaciones elegibles son aquellas que podrían causar un “daño grave” a las víctimas, y la OAIC tiene directrices para ayudar a las organizaciones a tomar esa decisión.
Facebook le dijo al Director Principal de la OAIC, Amie Grierson, en un correo electrónico del 1 de octubre de 2018, que “en este momento no consideramos que el incidente sea una violación de datos admisible bajo el esquema australiano de violaciones de datos notificables”.
Pero el gigante de las redes sociales, advirtió que su investigación se encontraba en sus primeras etapas y que no sabía si algún australiano estaba afectado. La compañía estadounidense, también notificó directamente a las personas afectadas a través de su plataforma.
En virtud de los requisitos de presentación de informes obligatorios de Australia, las organizaciones tienen 30 días para denunciar una infracción. Aunque Facebook se puso rápidamente en contacto con los reguladores de todo el mundo, parece haber llegado a una conclusión demasiado pronto en Australia sobre la gravedad de la infracción.
Uno de los problemas de la ley de notificación de Australia es que deja que las organizaciones decidan si su incidente podría causar daños graves a las personas, explicó Troy Hunt, experto en violación de datos y creador del servicio de notificación de violaciones Have I Been Pwned.
Los correos electrónicos no iluminan el pensamiento de Facebook de por qué en aquellos primeros días la violación no era obligatoria. Pero Facebook dijo en su entrada inicial en el blog que los tokens de acceso fueron tomados, lo que generalmente es una muy mala noticia.
El incidente de Facebook, sin embargo, resultó ser malo, y golpeó a la empresa en un momento en que ya estaba recuperándose del escándalo de Cambridge Analytica y se enfrentaba a las investigaciones de los reguladores.
Alrededor del 12 de octubre, Facebook proporcionó a la OAIC una visión más detallada de los datos que se expusieron en Australia. En total, 111.813 cuentas fueron expuestas en diferentes grados, según revelan los documentos.
Para 47.912 cuentas, se expusieron nombres completos, direcciones de correo electrónico y números de teléfono. En el caso de 1.595 cuentas, es posible que la infracción haya revelado mensajes en la línea de tiempo, listas de amigos, membresías en grupos y nombres de conversaciones recientes de Messenger.
Pero para la mayoría de los usuarios australianos afectados – unas 62.306 personas – se expuso toda la información básica de su perfil, incluyendo nombres, dirección de correo electrónico, números de teléfono, sexo, estado de la relación, ciudad de origen, ciudad de residencia actual, fecha de nacimiento, consultas de búsqueda recientes y lugares donde se habían registrado.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian