Facebook corrigió un error que provocaba que las contraseñas de muchos de sus usuarios se almacenaran en texto plano y fueran visibles para los empleados de la red social.
“Como parte de una revisión de seguridad de rutina que realizamos en enero, descubrimos que algunas contraseñas de los usuarios se almacenaban en un formato legible dentro de nuestros sistemas de almacenamiento de datos internos”, escribió en un comunicado Pedro Canahuati, vicepresidente de ingeniería, seguridad y privacidad de Facebook, el pasado jueves.
Se estima que la falla afectó a las contraseñas de “cientos de millones de usuarios de Facebook Lite, decenas de millones de otros usuarios de Facebook y decenas de miles de usuarios de Instagram”.
Es importante destacar que el gigante de los medios sociales dijo que las contraseñas nunca fueron expuestas a nadie fuera de la empresa y que no se detectó ningún abuso de este fallo de seguridad.
Mientras tanto, un informe del periodista de seguridad Brian Krebs , publicado antes de la declaración de Facebook, arroja un poco más de luz sobre el tema.
Citando a un empleado senior de Facebook, Krebs escribió que hasta 600 millones de personas pueden haberse visto afectadas por este error que dejó las contraseñas al alcance de más de 20,000 empleados de Facebook. Se dijo que al menos algunas de las contraseñas se almacenaron de forma insegura, es decir, sin sal y sin hash, desde 2012.
“Mi fuente en Facebook me dijo que los registros de acceso mostraban que unos 2,000 ingenieros o desarrolladores realizaron aproximadamente nueve millones de consultas internas por elementos de datos que contenían contraseñas de usuario en texto plano “, escribió Krebs. Dijo que el problema detectado fue en el lugar en el que los ingenieros de Facebook diseñan aplicaciones internas y que allí se registraban de manera inadvertida contraseñas no cifradas de una gran cantidad de usuarios..
En el comunicado público Facebook asegura que notificará a todos los usuarios afectados por el error, pero no les exigirá que cambien sus contraseñas.
En este contexto, Krebs citó al ingeniero de software de Facebook Scott Renfro, que había dicho que la compañía pretende forzar el restablecimiento de contraseñas solo “en los casos en que definitivamente haya signos de abuso”. Para Facebook, este no es el caso.
Sin embargo, esto puede no ser suficiente para disipar sus inquietudes. En caso de ser así, es posible que le interese cambiar su contraseña y activar el doble factor de autenticación para una capa adicional de seguridad de su cuenta.