Leak de facebook, mis datos son públicos y ahora ?

5 min readApr 20, 2021

Facebook es una de las plataformas mas utilizadas a nivel mundial, y se divulgaron datos de las personas que usan la plataforma a causa de una falla de funcionalidad según facebook (Oops), pero ahora que los datos son públicos y mucha gente puede acceder a esta información.

Que es lo que pueden hacer con toda esta información?.

Iniciemos con los datos que se filtraron

nombre
numero de teléfono
fecha de nacimiento
Correo electrónico
ID de facebook

Algunos dirán que esta información no es nada importante, y cualquier persona que sea su amigo puede llegar a tenerlo, bueno entonces iniciemos con lo interesante.

Nos enfocaremos en datos de Bolivia, nos enfocaremos en este país ya que soy Boliviano y existen muchos portales que ofrecen servicios a partir de estos datos.

Carnet de Identidad CI

Iniciemos con la fecha de nacimiento, en Bolivia existe una gran cantidad de portales para poder realizar consultas con nuestra fecha de nacimiento y el numero de carnet (CI), para realizar ataques de fuerza bruta con la fecha de nacimiento y el numero de carnet, se necesita mucho tiempo ya que es un proceso muy largo, necesitamos encontrar el numero de carnet en base a la fecha de nacimiento y tratar de deducir eso con fuerza bruta no vale la pena.

Pero ya que tenemos la fecha de nacimiento deducir el numero de carnet es mucho mas fácil (ni tanto), primero tenemos que encontrar el portal adecuado.

Podemos ver un script que realiza la fuerza bruta para encontrar el documento de identidad (CI) de una persona X, este proceso puede llegar a tomar algo de tiempo, pero como no existe ningún tipo de control para la gran cantidad de solicitudes entonces funcionara.

En la imagen podemos ver un proceso corto de fuerza bruta, pero después de varios intentos nos entrega cierta información. Ya encontramos el CI como también algunos datos adicionales que nos puede servir para realizar ataques mucho mas enfocados.

Numero de celular

Ahora que tenemos el CI, también podemos determinar algunos datos a partir del numero de celular.

Algunos bancos en Bolivia ofrecen ciertos servicios para recargar crédito a partir del numero de celular, en algunos casos piden el CI como dato adicional.

Y de esta manera podemos determinar si el numero de celular pertenece a alguna telefónica, algo que me llamo la atención es que los bancos o el servicio que utilizan no tiene los datos del usuario actualizados.

Otra manera de poder determinar a que telefónica pertenece el numero de celular es aprovecharnos de ciertas brechas de seguridad de los portales o aplicaciones móviles, en la imagen siguiente podemos observar que a partir de una lista se va determinando si el numero existe o esta en proceso de activación.

Correo Electrónico

Ahora que ya tenemos mas información de un usuario, veamos que datos podemos extraer a partir del correo electronico.

Iniciemos con una simple búsqueda de google, para poder buscar el correo electrónico en google solo tenemos que utilizar el operador “ ”.

“correo@electronico.com”

Podemos observar que solo se tiene 1 resultado, pero dentro del portal se puede tener mas información del usuario.

Utilicemos el servicio de haveibeenpwned para saber si esta cuenta fue comprometida.

Otro portal que podemos utilizar para saber si el correo electrónico fue divulgado es Intelligence_X

Intelligence X

Intelligence X is a search engine and data archive. Search Tor, I2P, data leaks and the public web by email, domain…

intelx.io

Estos portales nos proveen de información para saber si las cuentas fueron o no comprometidas, también tenemos la opción de buscar las bases de datos por Internet aunque es algo complicado. Pero si tenemos la opción de pagar algunos dolares estos portales nos proveerán de la información que tienen.

Facebook ID

Después de buscar varios de los datos, vamos con el ID de facebook, este dato es fácil de obtener si tenemos la cuenta del usuario como también varios portales nos ayudan a extraer esta información.

Facebook nos da la opción de buscar una cuenta con solo poner el ID después del dominio.

https://www.facebook.com/<ID>

una vez que se agrega el ID, la pagina hace una re-dirección hacia la pagina biográfica del usuario cambiando el ID por el nick o username de la cuenta.

Y a partir de aquí podemos extraer la lista de amigos (depende de la configuración que tenga la cuenta), intereses, fotos, likes, cuentas seguidas, etc.

Como pudieron notar los datos que fueron divulgados pueden ayudarnos a encontrar mucha mas información sobre una persona.

Si alguien recolecta la información de 2969209 de cuentas divulgadas solo de Bolivia, podría realizar un análisis de datos mas profundo, no entraremos en esta área pero dejo a su imaginación todo lo que se podría hacer.

A todo esto que realizamos se le llama OSINT, DOXING, etc… , tema para otro post.

Happy Hacking