Loading...
Redes SocialesSnapchat

Los empleados de Snapchat abusaron del acceso a los datos para espiar a los usuarios

Múltiples fuentes y correos electrónicos también describen SnapLion, una herramienta interna utilizada por varios departamentos para acceder a los datos de los usuarios de Snapchat.

Varios departamentos del gigante de los medios sociales Snap tienen herramientas dedicadas para acceder a los datos de los usuarios, y varios empleados han abusado de su acceso privilegiado para espiar a los usuarios de Snapchat, según ha podido saber Motherboard.

Dos ex empleados dijeron que varios empleados de Snap abusaron de su acceso a los datos de los usuarios de Snapchat hace varios años. Esas fuentes, así como dos ex empleados adicionales, un empleado actual y un caché de correos electrónicos internos de la compañía obtenidos por la Motherboard, describieron las herramientas internas que permitían a los empleados de Snap acceder a los datos del usuario, incluida en algunos casos información de ubicación, su propios Snaps guardados e información personal como números de teléfono y direcciones de correo electrónico. Las instantáneas son fotos o videos que, si no se guardan, generalmente desaparecen después de recibirse (o después de 24 horas si se publicaron en la historia de un usuario).

Aunque Snap ha introducido estrictos controles de acceso a los datos del usuario y toma muy en serio el abuso y la privacidad del usuario según varias fuentes, la noticia destaca algo que muchos usuarios pueden olvidar: detrás de los productos que utilizamos todos los días, hay personas con acceso a datos altamente confidenciales del cliente. Quienes lo necesiten para realizar trabajos esenciales en el servicio. Pero, sin las protecciones adecuadas en su lugar, esas mismas personas pueden abusar de ella para espiar la información privada o los perfiles de los usuarios.

Una de las herramientas internas que puede acceder a los datos del usuario se llama SnapLion, de acuerdo con varias fuentes y los correos electrónicos. La herramienta se usó originalmente para recopilar información sobre los usuarios en respuesta a solicitudes válidas de aplicación de la ley, como una orden judicial o citación, dijeron dos ex empleados. Ambas fuentes dijeron que SnapLion es un juego de palabras con el acrónimo común para el oficial de la ley LEO, y una de ellas agrega que es una referencia al personaje de dibujos animados Leo el León. El equipo de “Spam and Abuse” de Snap tiene acceso, según uno de los antiguos empleados, y un empleado actual sugirió que la herramienta se usa para combatir el acoso o hostigamiento en la plataforma por parte de otros usuarios. Un correo electrónico interno de Snap obtenido por Motherboard indica que un departamento llamado “Customer Ops” tiene acceso a SnapLion. El personal de seguridad también tiene acceso, según el empleado actual. La existencia de esta herramienta no ha sido reportada previamente.

SnapLion proporciona “las claves del reino”, dijo uno de los antiguos empleados que describió el abuso al acceder a los datos del usuario.

Muchos de los 186 millones de usuarios de Snapchat recurren a la aplicación como parte de lo efímero de los videos y fotos que los usuarios envían entre sí. Sin embargo, es posible que los usuarios no conozcan el tipo de datos que Snapchat puede almacenar. En 2014, la Comisión Federal de Comercio multó a Snapchat por no revelar que la compañía recopiló, almacenó y transmitió datos de geolocalización.

La guía de Snap disponible al público para el cumplimiento de la ley para solicitar información sobre los usuarios detalla el tipo de datos disponibles de la compañía, incluido el número de teléfono vinculado a una cuenta; los datos de ubicación del usuario (como cuando el usuario activó esa configuración en su teléfono y habilitó los servicios de ubicación en Snapchat); sus metadatos de mensajes, que pueden mostrar con quién hablaron y cuándo; y en algunos casos, el contenido limitado de Snap, como las “Memorias” del usuario, que son versiones guardadas de sus instantáneas generalmente efímeras, así como otras fotos o videos que el usuario realiza copias de seguridad.

Un correo electrónico interno obtenido por la Motherboard muestra a un empleado de Snap usando legítimamente SnapLion para buscar la dirección de correo electrónico vinculada a una cuenta en un contexto que no es de aplicación de la ley, y un segundo correo electrónico muestra cómo se puede usar la herramienta en las investigaciones contra el abuso infantil.

Las herramientas como SnapLion son un estándar de la industria en el mundo de la tecnología, ya que las empresas necesitan poder acceder a los datos de los usuarios con diversos fines legítimos. Aunque Snap dijo que tiene varias herramientas que la compañía usa para ayudar con los informes de los clientes, cumplir con las leyes y hacer cumplir los términos y políticas de la red, los empleados han usado procesos de acceso a datos por razones ilegítimas para espiar a los usuarios, según dos ex empleados.

Uno de los ex empleados dijo que el abuso de acceso a los datos ocurrió “varias veces” en Snap. Esa fuente y otro ex empleado especificaron que el abuso fue llevado a cabo por varios individuos. Un correo electrónico de Snapchat obtenido por Motherboard también muestra a los empleados que discuten ampliamente el problema de las amenazas internas y el acceso a los datos, y cómo deben ser combatidos.

La placa base no pudo verificar exactamente cómo ocurrió el abuso de datos, o qué sistema o proceso específico aprovecharon los empleados para acceder a los datos de los usuarios de Snapchat.

Un portavoz de Snap escribió en una declaración por correo electrónico: “Proteger la privacidad es primordial en Snap. Mantenemos muy pocos datos de usuarios y contamos con políticas y controles sólidos para limitar el acceso interno a los datos que tenemos. “El acceso no autorizado de cualquier tipo es una clara violación de los estándares de conducta de la empresa y, si se detecta, produce una terminación inmediata”.

Cuando se le preguntó si alguna vez hubo abusos, un antiguo empleado senior de seguridad de la información dijo: “No puedo hacer comentarios, pero desde el principio teníamos buenos sistemas, lo más probable es que antes de cualquier inicio”. El antiguo empleado principal no negó a los empleados que abusaron de su acceso a los datos y dejó de responder a los mensajes preguntando si ocurrió el abuso.

“El registro no es perfecto”.

Uno de los ex empleados pensó que hace varios años, SnapLion no tenía un nivel de registro satisfactorio para rastrear a qué datos accedían los empleados. El registro, en términos generales, es cuando una empresa realiza un seguimiento de quién usa un sistema y qué datos acceden para asegurarse de que se está utilizando de manera adecuada. La compañía luego implementó más monitoreo, agregó el ex empleado. Snap dijo que actualmente monitorea el acceso a los datos del usuario.

“El registro no es perfecto”, dijo el segundo ex empleado que describió el abuso de acceso a los datos.

Snap dijo que limita el acceso interno a las herramientas solo para aquellos que lo requieren, pero SnapLion ya no es una herramienta con el único propósito de ayudar a la policía. Ahora se utiliza de forma más general en toda la empresa. Un ex empleado que trabajó con SnapLion dijo que la herramienta se usa para restablecer las contraseñas de las cuentas pirateadas y “la administración de otros usuarios”.

Un empleado actual enfatizó los avances de la compañía para la privacidad del usuario, y dos ex empleados destacaron los controles que Snap tiene para proteger la privacidad del usuario. Snap introdujo el cifrado de extremo a extremo en enero de este año.

Los empleados que aprovechan su acceso a los datos con fines ilegítimos se producen en toda la industria tecnológica. El año pasado, Motherboard informó que Facebook ha despedido a varios empleados por usar su acceso privilegiado a los datos del usuario para acosar a los ex novios. Uber mostró en las fiestas su modo llamado ‘God View’, que muestra la ubicación en tiempo real de los usuarios y conductores reales, y los empleados de Uber utilizaron sistemas internos para espiar a ex socios, políticos y celebridades.

“Para el usuario normal, deben entender que todo lo que estén haciendo y que no esté encriptado está, en algún momento, disponible para los humanos”, dijo Alex Stamos, ex jefe de seguridad de la información en Facebook y ahora profesor adjunto de Stanford, en una llamada telefónica, hablando sobre la amenaza de personas maliciosas dentro de los gigantes tecnológicos en general.

“No es excepcionalmente raro”, agregó Stamos, refiriéndose al abuso de acceso a datos internos.

Leonie Tanczer, profesora de Seguridad Internacional y Tecnologías Emergentes en el University College de Londres, dijo en un chat en línea que este episodio “realmente resuena con la idea de que no se debe percibir a las empresas como entidades monolíticas, sino más bien organizadas por personas que tienen defectos y sesgos. Por lo tanto, es importante que el acceso a los datos esté estrictamente regulado internamente y que haya descuidos, verificaciones y saldos adecuados “.

 

Fuente y foto: https://www.vice.com/en_us/article/xwnva7/snapchat-employees-abused-data-access-spy-on-users-snaplion