Site icon Sophos News

Facebook acusado de enviar spam a los números de teléfono del 2FA

Acusan a Facebook de mandar spam a los números de teléfono usados en la autenticación de doble factor (2FA) y publicar las respuestas como “Por favor, parar” en los muros de los usuarios afectados.

El ingeniero de software Gabriel Lewis lo detectó el pasado mes y pidió a Facebook que por favor lo parara, una petición que por un lado el sistema de Facebook ignoró, continuando con el envío  spam y por otro lado auto publicó en su muro.

https://twitter.com/Gabriel__Lewis/status/963121814166630400/photo/1

Nadie está seguro si Facebook está sufriendo un ataque de ansiedad por su reciente pérdida de tráfico o si es un bug.

Por la nota de prensa que han enviado, parece que Facebook tampoco lo sabe, ya que en declaraciones a The Verge simplemente dicen que están investigando lo sucedido.

También sugieren que se emplee para el 2FA un generador de códigos en lugar del teléfono, como el Sophos Authenticator (que también está incluido en el gratuito Sophos Mobile Security para Android e iOS).

The Verge ha confirmado que esto ocurre con cualquier respuesta que se envíe al mensaje de la 2FA de Facebook. Al menos un usuario ha dicho en Twitter que Instagram también le ha enviado spam con notificaciones a su número de teléfono de 2FA.

https://twitter.com/nickheer/status/963879490299441152/photo/1

Lewis dice que nunca ha aceptado las notificaciones vía SMS para empezar, y aun así, él y otros sufren el spam.

El miércoles pasado había usuarios que estaban sufriendo gran cantidad de spam, muchos insistiendo en que no se trataba de un bug, acusando a Facebook de una desbocada campaña de marketing:

Por supuesto, simplemente insistiendo en que algo debe ser deliberado no hace que lo sea.

Por ahora no tenemos información por parte de Facebook sobre el tema, mientras no se soluciona los usuarios pueden pasarse al Generador de Códigos de Facebook para 2FA, que no solo ayuda con este problema, sino que también está considerado más seguro que usar 2FA con SMS.

 

Actualización: Alex Stamos, director de seguridad de Facebook, ha declarado que esto no era intencionado sino que se trataba de un bug. La razón por la que los SMS se publicaban directamente era por una funcionalidad existente que permitía interactuar con Facebook vía SMS, y que están trabajando para hacerla obsoleta pronto. En su declaración también dicen que sienten lo ocurrido y confirman el bug, que es mucho más que lo que han hecho otras empresas en las mismas circunstancias.

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

Exit mobile version