Facebook tuvo acceso a 600 millones de contrase帽as

Facebook confirm贸 el jueves en una publicaci贸n del blog, que sus empleados tuvieron acceso a 600 millones de contrase帽as de usuario durante a帽os. La informaci贸n hab铆a sido reportada por聽el reportero de ciberseguridad Brian Krebs.

El descubrimiento se realiz贸 en enero, dijo Pedro Canahuati de Facebook, como parte de una revisi贸n de seguridad de rutina. Ninguna de las contrase帽as era visible para nadie fuera de Facebook, dijo. Facebook admiti贸 el lapso de seguridad meses despu茅s de que Krebs dijera que los registros eran accesibles a unos 2.000 ingenieros y desarrolladores.

Krebs dijo que el error se remonta a 2012.

«Esto llam贸 nuestra atenci贸n porque nuestros sistemas de inicio de sesi贸n est谩n dise帽ados para enmascarar contrase帽as utilizando t茅cnicas que las hacen ilegibles», dijo Canahuati. «No hemos encontrado evidencia hasta la fecha de que alguien haya abusado internamente o haya accedido indebidamente a ellos», pero no dijo c贸mo la compa帽铆a lleg贸 a esa conclusi贸n.

Facebook dijo que notificar谩 a «cientos de millones de usuarios de Facebook Lite«, una versi贸n m谩s liviana de Facebook para usuarios donde las velocidades de Internet son lentas y el ancho de banda es caro, y «decenas de millones de otros usuarios de Facebook». La compa帽铆a tambi茅n dijo «decenas de usuarios». Miles de usuarios de Instagram ser谩n notificados de la exposici贸n.

Krebs dijo que hasta 600 millones de usuarios podr铆an verse afectados. Eso significa una quinta parte de los 2,7 mil millones de usuarios de la compa帽铆a. No obstante, Facebook a煤n tiene que confirmar la cifra.

Facebook no especific贸 el error

Facebook tampoco dijo c贸mo surgi贸 el error. Almacenar contrase帽as en texto plano legible es una forma insegura de almacenar contrase帽as. Las empresas, como Facebook, las contrase帽as de hash y salt, dos formas de codificar m谩s las contrase帽as, para almacenar las contrase帽as de forma segura. Eso permite a las empresas verificar la contrase帽a de un usuario sin saber cu谩l es.

Twitter y GitHub fueron afectados por errores similares pero independientes el a帽o pasado. Ambas compa帽铆as dijeron que las contrase帽as se almacenaban en texto plano y no codificadas.

Es lo 煤ltimo en una serie de problemas de seguridad vergonzosos en la empresa;聽provoc贸 consultas en el Congreso e investigaciones gubernamentales. La semana pasada se inform贸 que los acuerdos de Facebook que permit铆an a otras compa帽铆as de tecnolog铆a acceder a los datos de la cuenta sin consentimiento estaban bajo investigaci贸n criminal.

No se sabe por qu茅 Facebook tard贸 meses en confirmar el incidente, o si la compa帽铆a inform贸 a los reguladores estatales o internacionales por la notificaci贸n de incumplimiento de los EE. UU. Y las leyes europeas de protecci贸n de datos. Os preguntamos a Facebook, pero un portavoz no coment贸 inmediatamente m谩s all谩 de la publicaci贸n del blog.

La oficina irlandesa de protecci贸n de datos, que cubre las operaciones europeas de Facebook, dijo que la compa帽铆a «nos inform贸 de este problema». Agreg贸 que el regulador est谩 «actualmente buscando m谩s informaci贸n».

:)