CALIFORNIA.- Facebook guardó millones de contraseñas en formato texto, sin ningún tipo de encriptación y a la vista de miles empleados de la red social. Así lo ha confirmado Facebook, que llevó a cabo una investigación de seguridad en enero de 2019 y encontró contraseñas almacenadas en sus sistemas en un formato fácilmente leíble.
Desde la propia red social informan que han corregido este problema y avisarán a todos los usuarios afectados, a los que su contraseña fue encontrada de esta manera. Paralelamente, también se ha abierto una investigación para asegurarse que los distintos empleados no han abusado de los datos a los que tuvieron acceso.
Facebook confirma la grave brecha de seguridad con sus contraseñas
Según informa KrebsOnSecurity, Facebook está buscando la causa de una serie de fallos en los sistemas de seguridad que llevó a crear aplicaciones que guardaban las contraseñas sin encriptar.
La misma investigación asegura que entre 200 y 600 millones de contraseñas fueron almacenadas en texto plano desde 2012, y aunque desde la propia Facebook no confirman este dato sí hablan de “cientos de millones”. En concreto cientos de millones usuarios de Facebook Lite, decenas de millones de Facebook y cientos de miles de Instagram.
Según KrebsOnSecurity, unos 20.000 empleados de Facebook tuvieron acceso a estas contraseñas y entre unos 2.000 ingenieros de la compañía se generaron unos 9.000 millones de accesos a estos datos en texto plano.
Desde Facebook, aseguran que estas contraseñas nunca fueron mostradas a nadie fuera de Facebook. Scott Renfro, ingeniero de software de Facebook, explica que no hará falta reestablecer contraseñas. Si bien, desde el comunicado de Facebook sí finalizan explicando cómo cambiar la contraseña de Facebook e Instagram.
“Hasta ahora no hemos encontrado ningún caso en nuestras investigaciones en el que alguien haya buscado contraseñas de forma intencional, tampoco hemos encontrado signos de uso incorrecto de estos datos. En esta situación, lo que hemos encontrado es que estas contraseñas se registraron inadvertidamente, pero que no había ningún riesgo real derivado. Queremos asegurarnos de que estamos reservando estos pasos y solo forzaremos un cambio de contraseña en los casos en que definitivamente haya signos de abuso”.
Actualmente, Facebook informa que utiliza un sistema de encriptación de sus contraseñas que reemplaza los caracteres escritos por caracteres aleatorios y permite validar la entrada sin necesidad de almacenar la contraseña en texto. Adicionalmente y de manera relacionada con la seguridad de las cuentas, Facebook explica que informan a todos los usuarios de actividad sospechosa, se envían alertas de logins no reconocidos y se comparan los datos expuestos con otras bases de datos robados para, en caso que coincidan, avisar al usuario que cambie su contraseña.
Facebook no ha sido la única gran compañía con este problema en sus sistemas de seguridad. Previamente, tanto Github como Twitter admitieron haber expuesto también algunas de sus contraseñas en texto plano. (FUENTE: KATAKA)