Do NOT sell my information (e-mail & phone number) @lushadata

Durante los últimos meses he estado sufriendo un acoso bastante fuerte mediante llamadas a mi número de teléfono personal. Llamadas de todos los países del planeta que me han estado intentando localizar. Atendí las dos o tres primeras, para descubrir que todas ellas eran llamadas comerciales de empresas que querían venderme algo, buscar una reunión conmigo u ofrecerme algo.

Figura 1: Do NOT sell my information (e-mail & phone number)

Después de las primeras llamadas, comencé a ignorarlas y bloquear los números de esas empresas. Suponía que habían conseguido mi número de alguna manera, y que serían las mismas empresas con diferentes números. Pero no. Todas eran empresas distintas que tenían mi número.

Figura 2: Más de 30 llamadas en un día de todo el mundo he tenido

En un momento, acepté a hablar con una de ellas, y le pregunté cómo tenían mi número de teléfono. A esa pregunta me dijeron "De LinkedIN". Por supuesto, yo tengo todas mis opciones de privacidad de Linkedin revisadas, y tengo bloqueado todo, pero por si acaso lo revisé. Y no tenía ninguna información de contacto habilitada.

Figura 3: Visualizaciones de mi perfil en 90 días

Al final, mi perfil recibe muchas visitas, y no podría gestionar tantos contactos. Por eso uso mi cuenta de MyPublicInbox como único contacto a través de Internet, y por eso en la descripción de mi perfil de Linkedin pone claro que es el canal para contactar conmigo. ¿Quieres tener un contacto conmigo para lo que sea? Estoy abierto a ello. Tengo mi buzón público en Internet para algo, pero solo si eres respetuoso con mi tiempo. Ni spam, ni llamadas de teléfono a mi número personal.

Figura 4: Información "About Me"

Sin embargo, siguieron llegándome esas llamadas, así que en una de ellas decidí investigar un poco más y volví a preguntar "¿Cómo has conseguido mi número de teléfono?" nada más comenzar la charla. Y volvieron a decirme... "A través de Linkedin". Entonces contesté "No, no es posible. Tengo bloqueada esa información en Linkedin". La respuesta fue la pista: "Es que nosotros tenemos una extensión que mapea los números de teléfono con los perfiles de Linkedin y nos salen". 

Figura 5: Una de las extensiones que venden los datos de contacto

asociados a perfiles de LinkedIN, Facebook o Twitter

Así que, misterio resuelto. Alguien, ilegalmente, ha metido mi número de teléfono personal, obtenido de cualquier lugar y los estaban monetizando. Algo que, han hecho de forma ilegal. Algunas compañías de las que se dedican al mismo tipo de negocio, ya tienen cuidado con esto.

Figura 6: "No Longer" for EU/UK Citizens

De hecho, alguna de esas plataformas ya ha tenido algún problema legal, porque como ya tiré del hilo, se han denunciado muchas de ellas, y en Europa, según el GDPR, si capturan un número de teléfono, deben capturar el consentimiento explícito para este caso de uso,  algo que sé que no he dado en ningún sitio.

Figura 7: Do Not Sell My Information

No me quedé con el nombre de la extensión, así que me dediqué a buscar por Internet, y lo cierto es que es una autentica avalancha la cantidad de sitios que venden datos asociados a perfiles de Facebook, Twitter, LinkedIN, etcétera. Con paciencia, fui buscando en cada uno de ellos la forma de ejercer mis derechos y eliminar mis datos, y en casi todos tenían esa opción de "Do not sell my information", que debe ser lo que dicen la mayoría de las personas que acaban siendo acosados por culpa de estas plataformas.

Figura 8: Les tuve que dar mis datos para borrar mis datos

Por supuesto, me parece muy peligroso que los números de teléfono o direcciones de e-mail estén emparejados con los perfiles de Linkedin de los empleados de una empresa que es un buen lugar para buscar una víctima propicia. De esta forma se lo ponen muy fácil a los atacantes para hacer APTs de todo tipo, así que si tienes un equipo de seguridad en tu organización, prueba estas apps y exige que se borren los datos de todos tus empleados.

Figura 9: A ver si está "removed" para siempre

Yo lo hice de los dos sitios en los que aparecía, pero si alguno de vosotros ve que salgo en algún sitio, por favor, avisadme por los comentarios con el nombre de la extensión o plataforma donde aparezco para que pueda eliminarme. 

Figura 10: Te piden todos tus datos.

Pero hay un caso muy especial, que es el caso de esta compañía: Lusha.

Lusha, una startup que hace un negocio feo con datos capturados ilegalmente

Curiosamente, después de hacer ese proceso en varios sitios, incluida la empresa LUSHA que dice que las relaciones B2B se basan en la confianza, y de recibir la confirmación de que ellos no tenían mis datos en su base de datos, como podéis leer aquí...

Figura 11: Respuesta de Lusha después de pedir el borrado de su BBDD

... recibí una llamada de la empresa Live Person. Hablé con ellos, y me confirmaron que habían obtenido mis datos desde Lusha, así que ya solo me quedó ponerle un Tweet a la empresa y al CEO, antes de pasar a ver cómo puedo denunciar a esta empresa.

@LushaData Hey, you put in your Database illegally, without having my GDPR consent. I did *your* online process to delete my personal data from your database. I put my phone number and you tell me "it´s not here" but... I double check with a new call that You have it illegally...

— Chema Alonso (@chemaalonso) April 12, 2022

Y basta mirar un poco qué tweets les han puesto para ver que no soy el primero, ni el único, que ha sufrido el mismo acoso por culpa del uso ilegal de mis datos por esta empresa.

Figura 13: Quejas de haber sido metido ilegalmente en Lusha

Y muchas más quejas de muchas personas, lo que deja muy a las calaras que esta empresa, LUSHA, no tiene prácticas de negocio transparentes ni éticas, por lo que si se te pasa por la cabeza utilizar estos servicios, que sepas lo que hay detrás.

Figura 14: Más personas metidas ilegalmente en Lusha

No es la única empresa que hace esta venta de datos, y algunas plataformas, los exhiben en su web, con la información de contacto de las personas parcialmente tapada, pero disponible para cualquiera que se registre en esa plataforma para ver las partes que faltan del e-mail o el número de teléfono.

Figura 15: Perfiles indexados en Google

Por si acaso, ya he decidido cambiarme de número de teléfono y avisar solo a los contactos cercanos, porque no me apetece que me estén acosando por llamadas. No sé a quién le parece una buena idea para hacer una introducción de una empresa con el objetivo de hacer negocios esto, pero es lo que publiqué en otro artículo: "Spam Comercial al CEO: ¡Ideaca!". No sé ni cuantos correos electrónicos comerciales borro al día.

Figura 16: Webs que venden e-mails y números de teléfono de CEOs

En mi caso, no es la forma de acceder a mí, y todos los que han conseguido mi número de teléfono sin que haya sido yo el que se lo ha dado o ha autorizado que se lo den, se han llevado una respuesta negativa de mi parte. Para mí, no es la forma de abordar a una persona, utilizando su teléfono móvil personal para una proposición comercial. 

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Cómo localizar cuentas en Twitter por número de teléfono #stalkers

Hace unos días publicaba un artículo en el que explicaba cómo era posible localizar cuentas de Facebook a partir de su número de teléfono, que completaba la búsqueda de números de teléfono que se puede hacer en Facebook. Con esa misma idea fui a ver qué sucedía en Twitter, y la verdad es que aunque no es exactamente igual, se pueden hacer cosas bastante curiosas. Aquí os dejo unas ideas por si os sirven de ayuda.

Figura 1: Cómo localizar cuentas en Twitter por número de teléfono #stalkers

Paso 1: Localizar si un teléfono está asociado a una cuenta de Twitter

Esto resulta bastante fácil, aunque no nos va a permitir saber a qué cuenta pertenece en concreto. Eso habrá que ver si es posible sacarlo en una segunda derivada. Para saber si el número de teléfono está asociado a una cuenta de Twitter basta con ir a las opciones de Login.

Figura 2: Login en Facebook usando número de teléfono

Como se puede ver, al igual que en Facebook, puedes autenticarte usando el número de teléfono y esto no se puede evitar con ninguna opción de seguridad de las que tienes en Twitter, así que si tienes asociado tu número de teléfono vinculado en Twitter, se puede intentar hacer login con él. La única opción es desvincular el número de teléfono de la cuenta, eliminado así la posibilidad de utilizar un Segundo Factor de Autenticación basado en mensajes SMS ni la recepción de alertas vía SMS - aunque sí que podrás seguir usando 2FA basado en la app de Twitter para el smartphone -.

Figura 3: Forgot my password con número de teléfono

Como en el caso de Facebook, basta con intentar recuperar la contraseña y poner el número de teléfono de la persona que se busca, para ver si existe o no existe ese número de teléfono en Twitter. Si existe, se obtendrán las opciones de recuperación disponibles que serán, ver los últimos números de teléfono - un poco sin sentido cuando has dado el número de teléfono para localizar la cuenta -, pero además se podrán parcialmente datos de la cuenta de correo electrónico asociados.

Figura 4: Datos parciales de cuenta de correo electrónico asociado a número de teléfono

Con esos datos parciales de la cuenta de correo electrónico, ya estamos más cerca de sacar la cuenta de Twitter asociada.

Paso 2: Localizar la cuenta de correo electrónico asociada en Twitter

Viendo las opciones de recuperación en Twitter, se puede ver que la cuenta de correo muestra los dos primeros caracteres del nombre y el primero del dominio. Aún, con Facebook, se podría sacar el TLD, para saber si es .ES, . COM, o .NET, como en este caso.

Figura 5: En Facebook sale el TLD del correo electrónico

A partir de aquí toca "averiguar" el resto de la cuenta de correo electrónico. Si no eres capaz de localizar el resto de los caracteres de la cuenta de correo electrónico la cosa estará difícil. Para ello, utiliza todo el conocimiento que tengas de esa persona y todo lo que hayas podido sacar de otras cuentas, por ejemplo en Facebook. Será como jugar a la Ruleta de la Fortuna.

Figura 6: Jugar a la ruleta de la fortuna o seguir buscando info en otras redes sociales

Para probar que estás en lo cierto con tu suposición, deberás volver a intentar recuperar la cuenta de Twitter, utilizado ahora la cuenta de correo que crees que está asociada a ese número de teléfono. 

Figura 7: Buscar información de recuperación de cuenta Twitter utilizando correo electrónico

Si es la que cuenta que tú suponías, entonces llegarás exactamente a las mismas opciones de recuperación de cuenta que salieron cuando introdujiste el número de teléfono.  Tanto si has sido capaz de descubrir la dirección de correo electrónico como si no has sido capaz, puedes intentar descubrir la cuenta Twitter con el último paso.

Paso 3: Localizar la cuenta de Twitter asociada a esa dirección de correo electrónico

En Twitter hay dos opciones para permitir que te localicen. Una de ellas es por medio de correo electrónico y otra por medio de número de teléfono. Si la cuenta ha sido fortificada y ha eliminado estas dos opciones, entonces no podremos seguir.

Figura 8: Opciones de visibilidad de cuentas Twitter para que te localicen

Sin embargo, si ha dejado la opción por defecto para localizarle por correo electrónico y número de teléfono, el proceso es sencillo. Basta con ir a Encontrar Amigos en Twitter.

Figura 9: Encontrar amigos vía agenda de contactos de cuentas de correo elecrtrónico

Yo tengo una cuenta de Yahoo! creada especialmente para eso. En ella pongo en los contactos entradas de las direcciones de correo y números de teléfono que deseo localizar. Una vez la tengo dada de alta, le pido a Twitter que busque mis amigos de mi cuenta de Yahoo!

Figura 10: Cuenta de Twitter localizada a través de contacto de agenda de Yahoo!

Si esa cuenta de Twitter tiene por defecto la opción de que le localicen por correo electrónico, entonces obtendremos cuál es la cuenta de Twitter que está asociada a esa cuenta de correo, que a su vez estaba asociada a ese número de teléfono.

Corolario sobre el descubrimiento por número de teléfono en Twitter

Como habéis visto, en las opciones de Twitter que se ven en la Figura 8, hay una opción para permitir que te busquen vía número de teléfono, y según dice la ayuda esta información por defecto deja que te localicen vía correo electrónico o número de teléfono - si hay alguno vinculado a la cuenta -.

Figura 11: Por defecto te pueden localizar por e-mail y número de teléfono

En la API normal de Twitter no he localizado forma de hacer esa consulta en USER LOOKUP, pero creo que dejando marcada la opción de que te localicen por número de teléfono, Twitter puede permitirle esto a terceros con APIs comerciales - o directamente con la búsqueda de de amigos- , así que mi recomendación es que lo quites. De hecho, la información que da en la ayuda al respecto es bastante clara.

Figura 12: Cómo Twitter usa tu teléfono y correo electrónico con terceros

Recordad que Twitter necesita tu número de teléfono - así como el resto de anunciantes necesitan tu cuenta Twitter si ya tienen tu número de teléfono - para poder ponerte anuncios en función de los cereales que desayunas por la mañana o si vas a tener un bebé.

Saludos Malignos!

Facebook y la privacidad por defecto (2): El Teléfono

En esta segunda parte - tras dedicarle una entrada a las opciones de privacidad por defecto en Facebook relativas al correo electrónico -, voy a explicar como cualquier usuario con un poco de tiempo y dedicación podría extraer de Facebook los números de teléfono de otras cuentas. ¿Con que fin?, Eso dependerá de la imaginación de cada uno, pero al final el poder localizar el número de teléfono de cualquier cuenta es una información valiosa que puede ser útil en múltiples circunstancias. Hacer esto puede parecer sencillo, ya que en Facebook se pueden hacer búsquedas por números de teléfono, directamente desde la cuenta, pero como veremos, gracias a la existencia de Facebook Messenger, la exposición de los números de teléfono es mayor de la que los usuarios piensan.

Figura 1: Facebook y las opciones de privacidad por defecto (2): El número de teléfono

Para localizar la cuenta asociada a un número de teléfono - si el usuario ha dejado que lo encuentren los amigos, los amigos de los amigos o toda la red - basta con poner el número de teléfono en el buscador y Facebook devolverá información de la cuenta. Lo curioso es que cuando investigaba todo esto, Facebook estaba a punto de lanzar su conocida app Facebook Messenger. Una app para dispositivos móviles de obligada instalación para todos aquellos que quieran poder chatear a través de la red social desde sus dispositivos móviles. Este servicio también permite realizar llamadas de voz sobre VoIP y, personalmente, creo que fue en este momento donde se tomaron algunas decisiones críticas con respecto a la privacidad por defecto de los números de teléfono.

Figura 2: ¿Quién puede buscarme por número de teléfono en Facebook?

Con la instalación de app Facebook Messeger en tu dispositivo estas pareando tu cuenta de usuario de Facebook con tu número de teléfono, de igual forma que si hubieras configurado tu número de teléfono en tu cuenta para usarlo como segundo factor de autenticación o simplemente como información. La diferencia radica en que, si tienes instalada Facebook Messeger puedes ser buscado a través de tu número de teléfono, sin importar la relación establecida en la red social. Es decir, la búsqueda puede ser realizada por cualquier usuario, sin importar si es tu amigo en la red, amigo de tus amigos o no. Dicho esto, supongo que habrá varios casos límites en que el comportamiento puede ser distinto, por ejemplo en los caso en los que hayas instalado la app y luego que la hayas borrado, etcétera...

Entiendo, y es una interpretación personal, que una vez que Facebook Messenger ha reclutado tu número de teléfono este queda almacenado y asociado a tu cuenta de usuario de Facebook. A partir de aquí, cualquiera podría buscarte a través de tu número de teléfono.

Análisis de Facebook para sacar perfiles de usuarios buscando por teléfono

La primera idea que surgió era muy clara, y consistía en realizar por fuerza bruta un barrido de números de teléfono para saber a quién pertenecen y poder crear de esta forma una agenda de cuentas de Facebook con su correspondiente número de teléfono. Como veremos más adelante, obtener el número de teléfono de una persona abre todavía más el abanico de posibles ataques en otros servicios, además de facilitar las cosas a la hora de recoger información sobre el usuario. Con un número de teléfono podemos obtener mucha información. Incluso conocer si utiliza un dispositivo con iOS o Android, para saber si está actualizado o no,  o podríamos conocer si el titular del número de teléfono, ha pedido un crédito bancario con algún que otro truco, por dejar algunas ideas.

La idea está clara, el objetivo es conocer a partir de un rango de números de teléfono los perfiles de los usuarios a los que pertenecen. Realizando un par de búsquedas en Facebook se puede obtener fácilmente la URL de la consulta que se hace cuando se solicita la búsqueda de un número de teléfono, y que será la que habrá que automatizar para poder sacar toda la información:

https://www.facebook.com/search/results/?q=600000000

Ahora tenemos que encontrar un sistema que lance esta consulta reiteradamente con parámetros de búsqueda autoincrementados para lograr recorrer todo el abanico - y por supuesto - ver si es posible saltar algunas de las medidas de protección que pueda tener Facebook para evitar las búsquedas masivas.

Tras probar diferentes iniciativas pensando en hacer un script con netcat, hacer un programa en Java que incluyera una webview para automatizar las búsquedas, utilizar las APIs oficiales de Facebook, o incluso hacer un programa server-side en PHP con curl para hacer búsquedas en los resultados, como me recomendó mi amigo Carlos García. En todas las pruebas me topé con la necesidad del mantenimiento de la sesión con las cookies, así que al final armé algo bastante peculiar, pero que funciona razonablemente bien.

La solución consistió en utilizar a Firefox como mediador del ataque para gestionar las sesiones, lanzar la consulta por cada número de teléfono y descargar la página de resultados. Barajé varias opciones, como Selenium o incluso desarrollar una extensión para Firefox a medida y al final la solución que más me gustó fue utilizar la extensión Down Them All.

Figura 3: Extensión Down Them All para Firefox

Esta herramienta es un administrador y acelerador de descargas que se integra en Firefox. Entre las opciones que permite esta extensión se contempla la opción de la descarga por lotes. Es decir, imagínate que quieres descargar un fichero que está divido en diferentes partes, estas partes van desde Fichero_01.rar hasta Fichero_99.rar. La aplicación nos permite descargar todas estas partes sin tener que añadirlas una a una al gestor. Veamos cómo se hace. Abrimos Down Them All. Pulsamos sobre el botón circular azul que tiene un símbolo más en su interior. En descarga debemos de introducir la consulta de búsqueda, que como ya conocemos es:

https://www.facebook.com/search/results/?q=

Para poder descargar ficheros por lotes tenemos que utilizar el siguiente descriptor:

[600000000:699999999]

Concatenamos ambas cadenas y obtenemos:

https://www.facebook.com/search/results/?q=[600000000:699999999]

Esto lo que hará es ir generando las diferentes URLs que le hemos indicado, es decir:

https://www.facebook.com/search/results/?q=600000000
https://www.facebook.com/search/results/?q=600000001
https://www.facebook.com/search/results/?q=600000002
...
https://www.facebook.com/search/results/?q=699999999

Y descargando en formato HTML una a una todas las respuestas obtenidas en el directorio de salida que le indiquemos con el nombre que hemos elegido. Pulsando en el icono de la etiqueta podéis acceder a las diferentes opciones para elegir nombres a los ficheros. He de decir que la primera vez que probé la extensión no me funciono correctamente, me sobrescribía los ficheros descargados, tuve que inspeccionar las opciones de configuración y cambiarlas. Nada complicado. Al revisar los ficheros HTML puede verificar que todo había funciona correctamente.

Figura 4: Descarga de ficheros con Down Them All. 178 Mb de datos en 630 ficheros HTML

Acotando el rango de teléfonos de España para el ataque

Con respecto al rango de número de teléfono se nos abren muchas posibilidades, no tenemos por qué centrarnos solo en territorio nacional, también es válido para otros países. En este caso me voy a limitar solo a España. De principio, todos podíamos pensar que los números de teléfono de líneas móviles van desde el 600.000.000 hasta el 699.999.999 pero resulta que no, que se ha abierto un nuevo rango, desde el 71 hasta el 74. Este nuevo rango no lo voy a tener en cuenta para este ejemplo, pero habría que tenerlo muy presente en una prueba real, aunque a día de hoy, al ser tan reciente va a estar menos poblado en números de teléfonos operativos.

Con un par de búsquedas en Google y un poco de precisión es fácil encontrar los registros de numeración definidos por la CNMC (Comision Nacional de los Mercados y la Competencia). Daos una vuelta por los diferentes apartados no tiene desperdicio. A través de esta web podemos descargar un fichero ZIP con archivos de texto que nos dan información muy valiosa. En ellos está contenido el estado de los recursos públicos de numeración telefónica a 31/07/15 con el que podremos realizar búsquedas acotadas en  rangos de los números de teléfono determinados..

Si abrimos el fichero Rangos móviles.txt (os recomiendo miraros antes el fichero Leeme.txt) podemos realizar una búsqueda más concreta dentro de Facebook para localizar las cuentas Facebook de los usuarios españoles con cuenta en la red social. Para ello, vamos a empezar por descartar todos aquellos rangos de números que no están definidos y que por lo tanto no tendrán números operativos. Al descartar los números “Sin definir” acabamos de descartar un total de 8.300.000 números de teléfono, unos 83 rangos del tipo: RRR-YXX-XXX.

Una cosa importante a tener en cuenta es que los rangos de este fichero indican a la compañía a la que fueron asignados inicialmente. Después, a través de portabilidades, estos pueden haber cambiado de compañía en numerosas ocasiones, pero en un alto porcentaje seguirán siendo de esa operadora.

Creación de FacePhone

Para realizar esta extracción de forma masiva he desarrollado en Java NetBeans una pequeña aplicación a la que he llamado FacePhone. En uno de los apartados se permite consultar por un único número y al introducir el teléfono nos dice si se trata de un rango definido -o no- a partir del fichero moviles.txt, para que siempre haga una comprobación actualizada. Además, esta herramienta nos será de mucha utilidad cuando elijamos los rangos que queremos utilizar para realizar ataques de fuerza bruta, para realizar la extracción de los datos de los resultados y para poder exportar la información obtenida.

Figura 5: Comprobación con FacePhone del rango de un número de teléfono

Para utilizar esta herramienta debemos de posicionarnos en la pestaña “Rango Teléfono” y haber descargado el fichero moviles.txt mencionado anteriormente. Tan solo debemos de indicar donde se aloja el fichero moviles.txt y pulsar “Obtener información” para conocer la información al respecto. Creo que toda la herramienta es muy intuitiva.

La herramienta hace el trabajo duro de la recopilación de la información. Como sabéis Java es multiplataforma, por lo que podremos utilizar la herramienta tanto en sistemas Microsoft Windows como en GNU/LiNUX tan solo es necesario tener la máquina virtual de Java instalada.  Una vez que hemos descargado toda la información a base de fuerza bruta de los rangos de teléfono con Down Them All. Tan solo tenemos que configurar la herramienta FacePhone de la siguiente manera. 

Pestaña Configuración:

Figura 6: Pestaña de configuración de FacePhone

- En nombre del fichero: deberéis introducir la parte que se repite de todos los ficheros. Si los ficheros creado por Dowm Them All se llaman: fb_000, fb_001, fb_002,... fb_110, entonces el nombre del fichero será (la parte común): fb_ 

- Número de ceros debe de ser siempre 3: Por lo tanto es importante que al realizar las pruebas descarguéis por lo menos 110 ficheros, así el Down Them All generara ficheros con nombre raiz_000. Es decir, tenéis que poner en descarga de Down Them All. algo así:

https://www.facebook.com/search/results/?q=[666555000:666555110]

Ojo, Down Them All crea el primer fichero sin números. Hay que renombrarlo a mano, es decir, fb a fb_000 

- Mínimo: ponemos un 0. Indicando que el primer fichero a abrir sea el fb_000. 

- Máximo: ponemos el nombre del último fichero que se haya descargado, siguiendo con el ejemplo: fb_109 (de 0 a 109 van 110 números) 

- Ruta: Debemos de seleccionar mediante el botón "..." el directorio donde se han descargado los datos, los ficheros htm. Por último, en la pestaña Extraer Datos:

Pestaña Extraer Datos

El programa nos avisará cuando se hayan extraído todos los datos. Mientras tanto la barra de proceso nos irá indicando el porcentaje completado y los descriptores de la derecha nos irán indicando las estadísticas encontradas.

Figura 7: Una vez configurada la herramienta, FacePhone extrae los datos de los resultados

Una vez que el proceso haya finalizado, como ya se ha dicho, FacePhone nos avisara y podremos pulsar el botón Cargar Datos para poder visualizarlos en la tabla de resultados.

Figura 8: Datos extraídos de los ficheros de resultados de Down Them All

Si previamente hemos establecido una conexión con un MySQL mediante la pestaña de configuración podemos salvar los datos en una Base de Datos mediante el botón Salvar en BD.

Pestaña Información

Aquí se nos mostrará información más detallada sobre los ficheros descargados. Información muy útil para detectar números bloqueados y ficheros sin datos, también nos permite eliminar todos esos ficheros inútiles para quedarnos tan solo con los que contienen información de usuarios.

Figura 9: Pestaña información en FacePhone

Pestaña Importar BD

Desde aquí podemos obtener del servidor MySQL los datos almacenados que hemos extraído en una sesión anterior .

Figura 10: Carga de la base de datos generada con FacePhone

Al final obtendremos un listado con todos los datos que hemos ido reclutando. Ni que decir tiene que una vez que hemos guardado toda la información en la base de datos podríamos generar un script que creara un HTML con el aspecto de una agenda de teléfono donde apareciera el número de teléfono de los usuarios, su nombre y apellidos, la ciudad en la que vive y su correspondiente foto de perfil.

Conclusiones

Visto que salían muchos números de teléfono de muchas personas que probablemente no sabían que al instalar Facebook Messenger habían compartido su número con todo el mundo, decidí comunicárselo a Facebook antes de publicar el artículo. Ellos respondieron que conocían esta característica y que la consideraban correcta por:

- Hay medidas de protección para evitar el abuso
- Consideran la extracción masiva descartada
- El ataque de Fuerza Bruta no es de aplicación práctica real
- Toda la información es de carácter público
- El usuario siempre puede configurar que su teléfono no pueda encontrarse en las búsquedas.

Lo cierto es que, aunque es verdad que hacer un ataque de Fuerza Bruta para sacar una gran cantidad de números de teléfono en corto espacio de tiempo es difícil debido a las protecciones de baneo, captchas y demás que pone Facebook, sí que es posible sacar grandes rangos de datos con algo de tiempo. Utilizando un sistema de máquinas en la nube distribuidas haciendo lo mismo en paralelo o siendo un grupo de trabajo de varias personas, tal vez pueda salir una buena base de datos con utilidad para atacantes.

Además, en caso de querer hacer un ataque al personal una empresa, utilizando todos los números de teléfono de la empresa se pueden hacer batidas para sacar los perfiles de todos los empleados y, aunque hayan configurado la opción de no aparecer en las búsquedas - que no es la opción por defecto - siempre se podría complementar con el ataque publicado ayer por Chema Alonso intentando hacer login con el número de teléfono de un rango. En definitiva, si le diste a Facebook tu número de teléfono, es probable que cualquier te encuentre por él y lo pueda asociar a tu perfil y el resto de tus datos.

Saludos,

Autor: NeTTinG - Enrique Andrade
Estudiante de Ingeniería Informática (Fic - UDC)
Perito Informático Forense Judicial

¿Cómo sabe Twitter los cereales que comes o que esperas un bebé?

Muchos han sido los servicios de inteligencia que hablan de sacar conocimiento a partir de los datos que Twitter tiene. Saber cuál es la ideología política, los gustos o las relaciones sociales de una persona a través de lo que publica en su time-line, a quién sigue o quién le sigue es más que posible. Seguro que se os ocurren muchas cosas que se pueden aprender simplemente haciendo análisis del Big Data que tiene Twitter, pero lo que tal vez es más difícil de entender es cómo es posible que Twitter esté ofreciendo a sus anunciantes hacer publicidad dirigida tan ajustada como el salario que tiene una persona, los cereales que compra o si está esperando un bebé en los próximos seis meses.

Figura 1: ¿Cómo sabe Twitter los cereales que comes o que esperas un bebé?

La pregunta que muchos se hacen es cómo es posible que Twitter sepa eso. Cómo es posible que conozca una empresa a partir de los tuits que pone los cereales que desayuna. No es que haya alguno que lo publique en su time-line, que seguro que muchos lo hacen, pero como para saber con exactitud que 1.6 Millones de sus usuarios comen una determinada marca de cereales u otra. Esa es la pregunta que responde Mikko Hypponen este esta conferencia en Re:Publica15.

Figura 2: Conferencia de Mikko Hypponen en Re:publica15

Según explica Mikko Hypponen este tipo de datos solo se consiguen de una forma, y es el Mundo Real, comprando los datos de tus interacciones en el mundo físico a grandes empresas que a su vez compran las bases de datos en tiendas, cadenas de hoteles, viajes, centros comerciales - que los recolectan tal y como os expliqué en "Cómo te espía tu Centro Comercial" -, empresas de servicios, etc... Con todos esos datos, un anunciante en Twitter puede seleccionar, tal y como se puede ver en esta imagen, poner tuits promocionados a personas que desayunan un determinado tipo de cereales.

Figura 3: Anuncios en Twitter dirigidos a consumidores de determinados cereales

O que tienen un determinado nivel salarial, es de que se conoce de cada cuenta Twitter en la que se va a poner el anuncio el rango de dinero que está cobrando la persona que está detrás de esa cuenta.

Figura 4: Un anunciante en Twitter puede poner los anuncios a gente en función de sus salarios

Twitter compra los datos del mundo real a empresas como CBG, Acxiom o Datalogix - esta última recientemente comprada por Oracle - para poder cruzar todos los datos de actividad en el mundo real de las personas con la cuenta Twitter que tiene delante y a la que le tiene que poner un tuit promocionado. La clave para todo esto es que a Twitter, al igual que a muchos otros servicios le estamos dando nuestra verdadera identidad al darle el número de teléfono.

Figura 5: Los anunciantes en Twitter saben vas a ser papá porque Twitter ha comprado esos datos

El número de teléfono a Twitter se lo dimos inicialmente con la idea de poner un Segundo Factor de Autenticación basado en mensaje a nuestro número de teléfono. Al darle ese número de teléfono a Twitter le estamos dando el dato que le permite identificar las acciones que ha comprado en las bases de datos del mundo real con sus clientes, y llegar a saber que la cuenta Twitter que tiene delante tiene una alergia primaveral.

Figura 6: Puedes poner anuncios solo a usuarios con alergias primaverales

Cuando diseñamos Latch como Segundo Factor de Autorización una de las cosas que tomamos muy en serio fue en hacer Latch anónimo y no capturar ningún dato de los usuarios. Los sistemas OTP basados en el número de teléfono utilizan un dato personal que no hace anónimo al usuario en una cuenta. La suposición de Mikko sobre la adquisición de WhtatsApp por Facebook es que era el servicio que más identidades reales había sido capaz de captura en los dispositivos móviles al haber usado como identidad el número de teléfono.

Figura 7: Según Mikko el valor de WhatsApp estaba en su
base de datos de apps asociadas a números de teléfono

Si al final el servicio va a ser un servicio oficial en el necesitamos dar nuestra identidad real, utilizar el número de teléfono con sistemas como Mobile Connect es una buena opción. Si en el sitio queremos ser anónimo, utilizar un OTP vía número de teléfono como Segundo Factor de autenticación no nos hará nunca anónimos. Si solo tienes media hora hoy para perder, piérdela viendo esta charla de Mikko Hypponen.

Actualización: Para completar el círculo, ahora Twitter deja a sus usuarios de Periscope autenticarse con su número de teléfono en lugar de con su cuenta de Twitter, ¿por qué? Pues porque si en el mismo terminal está la cuenta de Twitter, también puede hacer el matching. Es decir, con la app de Twitter tienen la cuenta de Twitter y el ID del smartphone. Con la app de Persicope tendría el número de teléfono y el ID del smartphone. Con lo que conseguiría relacionar la cuenta de Twitter y el número de teléfono. Es decir, el mismo truco que Facebook o Instagram con WhatsApp

Saludos Malignos!