Facebook confirmó el jueves en una publicación del blog, que sus empleados tuvieron acceso a 600 millones de contraseñas de usuario durante años. La información había sido reportada por el reportero de ciberseguridad Brian Krebs.
El descubrimiento se realizó en enero, dijo Pedro Canahuati de Facebook, como parte de una revisión de seguridad de rutina. Ninguna de las contraseñas era visible para nadie fuera de Facebook, dijo. Facebook admitió el lapso de seguridad meses después de que Krebs dijera que los registros eran accesibles a unos 2.000 ingenieros y desarrolladores.
Krebs dijo que el error se remonta a 2012.
«Esto llamó nuestra atención porque nuestros sistemas de inicio de sesión están diseñados para enmascarar contraseñas utilizando técnicas que las hacen ilegibles», dijo Canahuati. «No hemos encontrado evidencia hasta la fecha de que alguien haya abusado internamente o haya accedido indebidamente a ellos», pero no dijo cómo la compañía llegó a esa conclusión.
Facebook dijo que notificará a «cientos de millones de usuarios de Facebook Lite«, una versión más liviana de Facebook para usuarios donde las velocidades de Internet son lentas y el ancho de banda es caro, y «decenas de millones de otros usuarios de Facebook». La compañía también dijo «decenas de usuarios». Miles de usuarios de Instagram serán notificados de la exposición.
Krebs dijo que hasta 600 millones de usuarios podrían verse afectados. Eso significa una quinta parte de los 2,7 mil millones de usuarios de la compañía. No obstante, Facebook aún tiene que confirmar la cifra.
Facebook no especificó el error
Facebook tampoco dijo cómo surgió el error. Almacenar contraseñas en texto plano legible es una forma insegura de almacenar contraseñas. Las empresas, como Facebook, las contraseñas de hash y salt, dos formas de codificar más las contraseñas, para almacenar las contraseñas de forma segura. Eso permite a las empresas verificar la contraseña de un usuario sin saber cuál es.
Twitter y GitHub fueron afectados por errores similares pero independientes el año pasado. Ambas compañías dijeron que las contraseñas se almacenaban en texto plano y no codificadas.
Es lo último en una serie de problemas de seguridad vergonzosos en la empresa; provocó consultas en el Congreso e investigaciones gubernamentales. La semana pasada se informó que los acuerdos de Facebook que permitían a otras compañías de tecnología acceder a los datos de la cuenta sin consentimiento estaban bajo investigación criminal.
No se sabe por qué Facebook tardó meses en confirmar el incidente, o si la compañía informó a los reguladores estatales o internacionales por la notificación de incumplimiento de los EE. UU. Y las leyes europeas de protección de datos. Os preguntamos a Facebook, pero un portavoz no comentó inmediatamente más allá de la publicación del blog.
La oficina irlandesa de protección de datos, que cubre las operaciones europeas de Facebook, dijo que la compañía «nos informó de este problema». Agregó que el regulador está «actualmente buscando más información».
:)