Facebook almacenó cientos de millones de contraseñas en texto plano desde 2012

Facebook almacenó cientos de millones de contraseñas de usuario en archivos de texto plano, sin cifrado de ninguna clase y potencialmente al alcance de cualquier empleado con acceso a los servidores de la compañía. Esta noticia se produce Menos de un mes después de que Mark Zuckerberg declarara su intención de reforzar la privacidad de Facebook y sus filiales. Los hechos han sido desvelados por el blog de seguridad KrebsOnSecurity y confirmados por la propia red social.

De acuerdo con una fuente consultada por KrebsOnSecurity, esta práctica pudo dejar expuestas las contraseñas de entre 200 y 600 millones de usuarios de Facebook y decenas de millones de usuarios de Instagram. Dichas claves no carecían de medidas de ofuscación, sino que podían ser buscadas "por más de 20.000 empleados de Facebook", con el consiguiente riesgo que ello supone.

"Los registros de acceso mostraron que 2.000 ingenieros o desarrolladores hicieron aproximadamente nueve millones de consultas internas para elementos de datos que contenían claves de usuario en texto plano", explica KrebsOnSecurity. Esta irresponsable conducta se llevaba a cabo desde 2012 pero solo salió a la luz en enero de 2019, cuando varios ingenieros se percataron al repasar código recientemente introducido que las contraseñas se estaban introduciendo en el sistema sin cifrar.

En su comunicado, Facebook afirma que esas claves "nunca fueron visibles" para nadie ajeno a la compañía y que no han encontrado evidencias de que se produjeran abusos o accesos improcedentes. "Estimamos que notificaremos a cientos de millones de usuarios de Facebook Lite, decenas de millones de otros usuarios de Facebook y cientos de miles de usuarios de Instagram", señala Facebook, que asegura como de costumbre que "no hay nada más importante para nosotros que proteger la información de la gente".

Dadas las circunstancias, cualquier persona con una cuenta de Facebook o Instagram debería tomarse la molestia de cambiar su contraseña aunque todavía no haya recibido un aviso oficial. De igual forma, sería recomendable utilizar sistemas de verificación seguros como la autenticación en dos pasos, preferentemente usando algún método que no requiera la introducción del número de teléfono.

Fuente: KrebsOnSecurity
Madre mía, están que se salen.

Y lo peor es que el grupo Facebook ya engloba a Instagram y a Whatsapp...
¿Una empresa tan grande como Facebook guardaba las contraseñas como texto plano en lugar de guardar su hash?
[facepalm] [facepalm]
Con 2 cojonazos. Seguro que además el fichero se llamaba "passwords.txt".

Porque un hash es muy jodido de implementar.

Vaya coladero...
Lo ponían fácil para el que quisiera verlas xD
En serio, tengo que borrar mi cuenta de facebook qué peligro! [enfado1]
Será está la puntita para que esta red termine de morir?
Pihole con Google ads, analitics, fb e Instagram

Desde entonces todo va más rápido, soy más guapo, más rico y me mide 3cms más :D
Desde luego manda narices
Las contraseñas de 600 millones de personas accesibles a golpe de doble click por 20.000 trabajadores durante 7 años.

Todo correcto
Son unos irresponsables. Espero que el tiempo les ponga en su sitio...
DavET está baneado por "Saltarse el ban con un clon"
Lo de siempre, desconecten o entren en un bucle de noticias de este pelo ... ZzzZZ
Que mas excusas hacen falta para que se mande a Facebook a lo mas profundo del averno.
Siempre dije que esta mierda ni con un palo. Y todavía había quién me preguntaba por qué xD
Y esta es una de las razones por las que es posible el negocio con cosas como el "desbloqueo de iCloud". Con su nombre y apellidos o número de teléfono (preguntándole a siri siempre que no esté en modo perdido) vas donde un trabajador de Facebook que curiosamente venda sus servicios en eBay y le dices "psch, 50 a cambio del desbloqueo". Si usa la misma clave para el correo y/o AppleID, negocio redondo...

La verdad es que no se si se ha dado el caso, pero 7 añazos dan para mucho... y bueno, esos 20.000 lo mismo se refiere a la plantilla actual, no incluyendo los exempleados que también tuvieron acceso en su día.
Lo guardaban en el bloc de notas de Windows.
Estan saliendo bastantes cosas ya con Facebook. Uno que cierra su cuenta hoy mismo.
JeLoW escribió:En serio, tengo que borrar mi cuenta de facebook qué peligro! [enfado1]

Pues tengo malas noticias XD
Tremendo. No entiendo por qué lo hacían, salvo para lucrarse.

Multa billonaria y cese inmediato de sus servicios, así como cárcel para quien sea necesario.

Eso harían en un mundo coherente, pero va a ser que no pasará nada.
banderas20 escribió:Con 2 cojonazos. Seguro que además el fichero se llamaba "passwords.txt".

Porque un hash es muy jodido de implementar.

Vaya coladero...


He pensado lo mismo, ya puestos haz la gracia completa.
Es increíble.
Facebook no sale de una que ya está metida en otras dos noticias sobre mala gestión y filtración de datos personales y de seguridad.
.....a veces pienso que los ingenieros de Facebook provienen de Panda Software [jaja]
Vaya huevos, yo paso ya de esta red social y de WhatsApp también xD
Madre mia que desastre de compañia...
Debería ser delito grave esto.
Para que luego me critiquen por no querer añadir el virus "wuzzap" a las ETSs que ya trae el movil de serie. Que desgracia todo.

Despues de años y años de la locura de facebook, harto de encontrarme cosas que quería ver en forma de enlaces a fecebook, di mi brazo a torcer y registré una cuenta basura con un nombre inventado y un correo desechable. Y eso esa es toda mi "presencia" en fecebook. Logueo cuando me lo exige, y cierro cuando he acabado. No subo nada de nada a esa basura.
Me imagino a los trabajadores viendo los usuarios y contraseñas en un archivo Excel en un documento compartido a través de Google Drive :Ð :Ð
Y luego las apuntaban en un papelito, por si perdían el .txt [carcajad]
passwords.txt

¿Soy yo, o parece que estén yendo fuerte contra Facebook? Como si alguien estuviera intentando debilitar poco a poco a la compañía.
Abrams escribió:passwords.txt

¿Soy yo, o parece que estén yendo fuerte contra Facebook? Como si alguien estuviera intentando debilitar poco a poco a la compañía.


passwords_not_protected.txt que así llama más la atención [+risas] [+risas]

La verdad que son la ostia, para dedicarse a servicios informáticos dejan mucho que desear.

Respecto a que vayan fuerte, no te lo niego, pero si hicieran las cosas bien esto no pasaría. Una cosa es tener los passwords encriptados, el servidor protegido y que te lo acaben "petando" y otra que almacenes passwords en texto plano a la vista de tus empleados [facepalm] (con dos cojones).
A mi me hackearon mi cuanta de Facebook y crearon una campaña de Facebook Ads con una cuenta de PayPal robada. La contraseña que usaba era de las duras y ya me sorprendió en su día que consiguieran hackearme. Ahora todo cobra sentido.
Lo peor de lo que me pasó fue la respuesta nula de Facebook. Desactivé la campaña, cambié contraseñas y les avisé de lo que había pasado. Ninguna respuesta recibí. Eso sí un día me encontré que mi cuenta de Facebook Ads estaba inhabilitada por arte de magia. Si no fuera por mi curro, ya les habría dado puerta a todos.
Y luego multamos con 1500 millones a google por abuso de posición dominante, y estos con estas practicas que es un perjuicio claro y directo al consumidor se salen de rositas...

menuda verguenza
Nada comparado a lo de USA y sus armas nucleares que durante dos décadas estuvieron protegidas de ser lanzadas con código 00000000.
Abrams escribió:passwords.txt

¿Soy yo, o parece que estén yendo fuerte contra Facebook? Como si alguien estuviera intentando debilitar poco a poco a la compañía.


Alarma de pensamiento independiente
35 respuestas