Facebook tuvo acceso a 600 millones de contrase├▒as

Facebook confirm├│ el jueves en una publicaci├│n del blog, que sus empleados tuvieron acceso a 600 millones de contrase├▒as de usuario durante a├▒os. La informaci├│n hab├şa sido reportada por┬áel reportero de ciberseguridad Brian Krebs.

El descubrimiento se realiz├│ en enero, dijo Pedro Canahuati de Facebook, como parte de una revisi├│n de seguridad de rutina. Ninguna de las contrase├▒as era visible para nadie fuera de Facebook, dijo. Facebook admiti├│ el lapso de seguridad meses despu├ęs de que Krebs dijera que los registros eran accesibles a unos 2.000 ingenieros y desarrolladores.

Krebs dijo que el error se remonta a 2012.

┬źEsto llam├│ nuestra atenci├│n porque nuestros sistemas de inicio de sesi├│n est├ín dise├▒ados para enmascarar contrase├▒as utilizando t├ęcnicas que las hacen ilegibles┬╗, dijo Canahuati. ┬źNo hemos encontrado evidencia hasta la fecha de que alguien haya abusado internamente o haya accedido indebidamente a ellos┬╗, pero no dijo c├│mo la compa├▒├şa lleg├│ a esa conclusi├│n.

Facebook dijo que notificar├í a ┬źcientos de millones de usuarios de Facebook Lite┬ź, una versi├│n m├ís liviana de Facebook para usuarios donde las velocidades de Internet son lentas y el ancho de banda es caro, y ┬źdecenas de millones de otros usuarios de Facebook┬╗. La compa├▒├şa tambi├ęn dijo ┬źdecenas de usuarios┬╗. Miles de usuarios de Instagram ser├ín notificados de la exposici├│n.

Krebs dijo que hasta 600 millones de usuarios podr├şan verse afectados. Eso significa una quinta parte de los 2,7 mil millones de usuarios de la compa├▒├şa. No obstante, Facebook a├║n tiene que confirmar la cifra.

Facebook no especific├│ el error

Facebook tampoco dijo cómo surgió el error. Almacenar contraseñas en texto plano legible es una forma insegura de almacenar contraseñas. Las empresas, como Facebook, las contraseñas de hash y salt, dos formas de codificar más las contraseñas, para almacenar las contraseñas de forma segura. Eso permite a las empresas verificar la contraseña de un usuario sin saber cuál es.

Twitter y GitHub fueron afectados por errores similares pero independientes el a├▒o pasado. Ambas compa├▒├şas dijeron que las contrase├▒as se almacenaban en texto plano y no codificadas.

Es lo ├║ltimo en una serie de problemas de seguridad vergonzosos en la empresa;┬áprovoc├│ consultas en el Congreso e investigaciones gubernamentales. La semana pasada se inform├│ que los acuerdos de Facebook que permit├şan a otras compa├▒├şas de tecnolog├şa acceder a los datos de la cuenta sin consentimiento estaban bajo investigaci├│n criminal.

No se sabe por qu├ę Facebook tard├│ meses en confirmar el incidente, o si la compa├▒├şa inform├│ a los reguladores estatales o internacionales por la notificaci├│n de incumplimiento de los EE. UU. Y las leyes europeas de protecci├│n de datos. Os preguntamos a Facebook, pero un portavoz no coment├│ inmediatamente m├ís all├í de la publicaci├│n del blog.

La oficina irlandesa de protecci├│n de datos, que cubre las operaciones europeas de Facebook, dijo que la compa├▒├şa ┬źnos inform├│ de este problema┬╗. Agreg├│ que el regulador est├í ┬źactualmente buscando m├ís informaci├│n┬╗.

:)