Facebook admite almacenar contraseñas sin cifrado en texto sin formato

Facebook ha admitido que millones de contraseñas de usuarios fueron legibles por sus empleados durante años, después de haber sido almacenadas en texto sin formato en sus servidores internos.

Esto, viola las prácticas fundamentales de seguridad informática.

Pedro Canahuati, el vicepresidente de ingeniería, seguridad y privacidad de la compañía, dijo el jueves que el error fue descubierto durante una revisión de seguridad de rutina en enero.

«Para ser claros, estas contraseñas nunca fueron visibles para nadie fuera de Facebook y no hemos encontrado evidencia hasta la fecha de que alguien haya abusado internamente o haya accedido indebidamente a ellas», dijo Canahuati en una publicación del blog.

Pero miles de empleados pudieron haberlos buscado.

La noticia llega después de una serie de controversias centradas en si Facebook protege adecuadamente la privacidad y los datos de sus más de 2,2 mil millones de usuarios en todo el mundo.

Así mismo, Canahuati dijo que la compañía esperaba notificar a cientos de millones de usuarios de Facebook Lite y a decenas de millones de otros usuarios de Facebook.

Además de a decenas de miles de usuarios de Instagram cuyas contraseñas pueden haber sido vulnerables a miradas indiscretas.

Facebook Lite es una versión diseñada para personas con teléfonos más antiguos o con conexiones de internet de baja velocidad. Se utiliza principalmente en los países en desarrollo.

«Hemos solucionado estos problemas y, como medida de precaución, notificaremos a todas las personas cuyas contraseñas que hemos encontrado se almacenaron de esta manera», dijo Canahuati.

Archivos de texto sin formato

Brian Krebs, del sitio web de noticias de seguridad KrebsOnSecurity.com, citó una fuente anónima de Facebook.

Diciendo que la investigación interna había indicado hasta ahora que las contraseñas de las cuentas de hasta 600 millones de usuarios de la red social se almacenaban en archivos de texto sin formato en los que se podían buscar 20.000 empleados.

El número exacto aún no se había determinado, pero se encontraron archivos con contraseñas de usuario sin cifrar que se remontan al año 2012, según Krebs.

Facebook Lite se introdujo en 2015, la compañía compró Instagram en 2012.

La admisión de Facebook de Faux Pas se produjo después del informe de Krebs.

Así mismo, la práctica de Facebook es enmascarar las contraseñas de las personas reemplazándolas con caracteres aleatorios y luego guardando las claves de software necesarias para dar sentido al desorden, según Canahuati.

La técnica permite que el sistema de Facebook reconozca contraseñas válidas cuando los usuarios inician sesión, sin almacenar la información en texto sin formato que los empleados o piratas informáticos puedan leer.

«No hay una razón válida por la que cualquiera en una organización, especialmente el tamaño de Facebook, necesite tener acceso a las contraseñas de los usuarios en texto sin formato», dijo el experto en seguridad cibernética Andrei Barysevich de Recorded Future.

El problema, según Facebook, no se debió a un solo error.

Durante una revisión de rutina, dice, encontró que las contraseñas de texto sin formato se capturaron y almacenaron involuntariamente en sus sistemas de almacenamiento interno.

Esto sucedió en una variedad de circunstancias, por ejemplo, cuando una aplicación se bloqueó y el registro de bloqueo resultante incluía una contraseña capturada.

Facebook dijo que los usuarios de redes sociales podrían reforzar también la seguridad actualizando contraseñas complejas y optando por requerir una segunda pieza de datos como un código de texto para acceder a las cuentas.

Además, Facebook llega a un estimado de 2,7 billones de personas con su red social central, Instagram y aplicaciones de mensajería.

Facebook admite almacenar contraseñas sin cifrado

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies ACEPTAR

Aviso de cookies