Facebook guardó millones de contraseñas en formato texto, sin ningún tipo de encriptación y a la vista de miles empleados de la red social. Así lo ha confirmado Facebook, que llevó a cabo una investigación de seguridad en enero de 2019 y encontró contraseñas almacenadas en sus sistemas en un formato fácilmente leíble.
Desde la propia red social informan que han corregido este problema y avisarán a todos los usuarios afectados, a los que su contraseña fue encontrada de esta manera. Paralelamente, también se ha abierto una investigación para asegurarse que los distintos empleados no han abusado de los datos a los que tuvieron acceso.
Facebook confirma la grave brecha de seguridad con sus contraseñas
Según informa KrebsOnSecurity, Facebook está buscando la causa de una serie de fallos en los sistemas de seguridad que llevó a crear aplicaciones que guardaban las contraseñas sin encriptar.
Exclusive: Facebook stored hundreds of millions of user passwords in plain text for years https://t.co/1iklirG5Hu pic.twitter.com/cmbpYmTrng
— briankrebs (@briankrebs) 21 de marzo de 2019
La misma investigación asegura que entre 200 y 600 millones de contraseñas fueron almacenadas en texto plano desde 2012, y aunque desde la propia Facebook no confirman este dato sí hablan de "cientos de millones". En concreto cientos de millones usuarios de Facebook Lite, decenas de millones de Facebook y cientos de miles de Instagram.
Según KrebsOnSecurity, unos 20.000 empleados de Facebook tuvieron acceso a estas contraseñas y entre unos 2.000 ingenieros de la compañía se generaron unos 9.000 millones de accesos a estos datos en texto plano.
Desde Facebook, aseguran que estas contraseñas nunca fueron mostradas a nadie fuera de Facebook. Scott Renfro, ingeniero de software de Facebook, explica que no hará falta reestablecer contraseñas. Si bien, desde el comunicado de Facebook sí finalizan explicando cómo cambiar la contraseña de Facebook e Instagram.
"Hasta ahora no hemos encontrado ningún caso en nuestras investigaciones en el que alguien haya buscado contraseñas de forma intencional, tampoco hemos encontrado signos de uso incorrecto de estos datos. En esta situación, lo que hemos encontrado es que estas contraseñas se registraron inadvertidamente, pero que no había ningún riesgo real derivado. Queremos asegurarnos de que estamos reservando estos pasos y solo forzaremos un cambio de contraseña en los casos en que definitivamente haya signos de abuso".
Actualmente, Facebook informa que utiliza un sistema de encriptación de sus contraseñas que reemplaza los caracteres escritos por caracteres aleatorios y permite validar la entrada sin necesidad de almacenar la contraseña en texto. Adicionalmente y de manera relacionada con la seguridad de las cuentas, Facebook explica que informan a todos los usuarios de actividad sospechosa, se envían alertas de logins no reconocidos y se comparan los datos expuestos con otras bases de datos robados para, en caso que coincidan, avisar al usuario que cambie su contraseña.
Facebook no ha sido la única gran compañía con este problema en sus sistemas de seguridad. Previamente, tanto Github como Twitter admitieron haber expuesto también algunas de sus contraseñas en texto plano.
Ver 29 comentarios
29 comentarios
kdekyurem
Y que siga la fiesta
chiefwiggum
¿Alguien se cree, en serio, que fue "por error", como dice el titular?
Usuario desactivado
Tela
r a g n o r
De nuevo.
Y después son los mismos que nos tratan de idiotas y nos obligan a cambiar la contraseña constantemente, obligándonos a usar formatos extraños, etc.
Y luego siempre, siempre, la culpa es del otro lado.
powerjones
Que asco me da Facebook, Instagram y WhatsApp. Si mañana desaparecieran y despues de un periodo de adaptación seriamos muchos mas felices
ivimail
Claro, por error...
jlmartin
Es algo básico cuando diseñas una portal web con un sistema de usuarios, usar el mismo sistema que usa linux, no creo que haya sido un error o negligencia.
En sistemas UNIX y GNU/Linux se utiliza el algoritmo MD5 para calcular el hash de las claves de los usuarios. En el disco se guarda el resultado del MD5 de la clave que se introduce al dar de alta un usuario, y cuando éste quiere entrar en el sistema se compara el hash MD5 de la clave introducida con el hash que hay guardado en el disco duro. Si coinciden, es la misma clave y el usuario será autenticado.
Jiahui Chen
En clase de bases de datos. Es importante encriptar las contraseñas con función Hash, ya que hacer ingeniería inversa de las contraseñas encriptadas es muy difícil. Pues aquí por lo visto, de Hash nada, texto plano 🙃
PipeX
Qué agradable sujeto
Usuario desactivado
Mira que le tengo manía a esta empresa. Pero ya son muchos meses en los que parece haber "interés" en tumbarla. De FB oigo mucho ruido, ¿y en Twitter son todos santos?