Le llueve sobre mojado a Mark Zuckerberg por estos días, ya que además del boicot comercial que está sufriendo Facebook, ahora se sumó una investigación de la Universidad de Iowa que desentrañó la forma en que los desarrolladores están compartiendo información personal de los usuarios a través de las apps con terceros.
Según reporta Zdnet, la técnica descubierta se llama CanaryTrap y usa los honeytokens que son datos, tokens o archivos falsos que los expertos de TI plantan en una red. Cuando se accede o utiliza la información, los administradores pueden detectar actividad maliciosa.
En el contexto de la red social, los honeytokens eran direcciones de correo electrónico únicas que los académicos usaban para registrar cuentas de Facebook y así instalar apps, usarlas por quince minutos, y «luego, los investigadores monitorearon la bandeja de entrada de correo electrónico de Honeytoken para detectar tráfico nuevo. Si la bandeja de entrada recibía nuevos correos electrónicos, estaba claro que la aplicación compartía los datos del usuario con un tercero».
El equipo académico dijo que probaron 1,024 aplicaciones de Facebook utilizando su técnica CanaryToken e identificaron 16 aplicaciones que compartían direcciones de correo electrónico con terceros y que los usuarios recibían correos electrónicos de remitentes desconocidos.
Konstantinos Papamiltiadis, vicepresidente de asociaciones de plataformas de la red social, comentó en una publicación que efectivamente hubo vulneraciones.
«Descubrimos que en algunos casos las aplicaciones continuaron recibiendo los datos que las personas habían autorizado previamente, incluso si parecía que no habían usado la aplicación en los últimos 90 días. Por ejemplo, esto podría suceder si alguien usara una aplicación de ejercicios para invitar a sus amigos de su ciudad natal a un entrenamiento, pero no reconocimos que algunos de sus amigos habían estado inactivos durante muchos meses», señaló.
En esa misma línea, el funcionario de Facebook agregó que, «de los últimos meses de datos que tenemos disponibles, actualmente estimamos que este problema permitió que aproximadamente 5,000 desarrolladores continúen recibiendo información, por ejemplo, idioma o género, más allá de los 90 días de inactividad reconocidos por nuestros sistemas. No hemos visto evidencia de que este problema haya resultado en compartir información que era inconsistente con los permisos que las personas otorgaron cuando iniciaron sesión con Facebook».
La red social de Zuckerberg dijo que pudo resolver el problema.
