Facebook dijo que almacenó durante años millones de
contraseñas de sus usuarios en un archivo de texto simple y sin encriptar.
El reconocimiento del gigante de las redes sociales se
produjo después de que un investigador de seguridad publicara en línea un
artículo sobre el tema.
«La regla más básica de seguridad dicta que, bajo
ninguna circunstancia, las contraseñas deben ser almacenadas en texto sencillo,
y en todo momento deben estar encriptadas», dijo el experto en
ciberseguridad Andrei Barysevich de la firma Recorded Future. «No hay
ninguna razón válida por la que alguien en una organización, especialmente del
tamaño de Facebook, necesite tener acceso a las contraseñas de los usuarios en
un texto no cifrado».
Facebook dijo que no hay evidencia de que sus empleados
hicieran mal uso del acceso que tenían a estos datos. Sin embargo, miles de
empleados pudieron haberlos buscado. La compañía dijo que las contraseñas se
almacenaban en servidores internos de la compañía, y que nadie fuera tuvo
acceso. Pero el incidente revela una enorme omisión de la compañía entre los
varios golpes y tropezones de los últimos dos años.
El blog de seguridad KrebsOnSecurity dijo que las
contraseñas de unos 600 millones de usuarios pudieron haberse almacenando en
texto simple. Facebook dijo en una publicación el jueves que probablemente
notificará a “cientos de millones” de usuarios de Facebook Lite, millones de
usuarios de Facebook y decenas de miles de usuarios de Instagram que sus
contraseñas fueron almacenadas en este formato. Facebook Lite está diseñado
para usuarios con teléfonos más viejos y conexiones lentas de internet, y se
usa principalmente en países en desarrollo.
Facebook agregó que descubrió el problema en enero. Pero
según Brian Krebs, investigador de seguridad, en algunos casos las contraseñas
llevaban desde 2012 almacenadas como texto simple. Facebook Lite se lanzó en
2015 y Facebook compró Instagram en 2012.
Barysevich dijo que no recuerda que se supiera de una
compañía grande exponiendo contraseñas a nivel interno. Agregó que ha visto
varios casos donde organizaciones mucho más pequeñas hicieron que dicha
información estuviera disponible fácilmente no sólo para programadores, también
para equipos de atención al cliente.
