Facebook almacenó cientos de millones de contraseñas de usuario en archivos de texto plano, sin cifrado de ninguna clase y potencialmente al alcance de cualquier empleado con acceso a los servidores de la compañía. Esta noticia se produce Menos de un mes después de que Mark Zuckerberg declarara su intención de
reforzar la privacidad de Facebook y sus filiales. Los hechos han sido desvelados por el blog de seguridad
KrebsOnSecurity y
confirmados por la propia red social.
De acuerdo con una fuente consultada por KrebsOnSecurity, esta práctica pudo dejar expuestas las contraseñas de entre 200 y 600 millones de usuarios de Facebook y decenas de millones de usuarios de Instagram. Dichas claves no carecían de medidas de ofuscación, sino que podían ser buscadas "por más de 20.000 empleados de Facebook", con el consiguiente riesgo que ello supone.
"Los registros de acceso mostraron que 2.000 ingenieros o desarrolladores hicieron aproximadamente nueve millones de consultas internas para elementos de datos que contenían claves de usuario en texto plano", explica KrebsOnSecurity. Esta irresponsable conducta se llevaba a cabo desde 2012 pero solo salió a la luz en enero de 2019, cuando varios ingenieros se percataron al repasar código recientemente introducido que las contraseñas se estaban introduciendo en el sistema sin cifrar.
En su comunicado, Facebook afirma que esas claves "nunca fueron visibles" para nadie ajeno a la compañía y que no han encontrado evidencias de que se produjeran abusos o accesos improcedentes. "Estimamos que notificaremos a cientos de millones de usuarios de Facebook Lite, decenas de millones de otros usuarios de Facebook y cientos de miles de usuarios de Instagram", señala Facebook, que asegura como de costumbre que "no hay nada más importante para nosotros que proteger la información de la gente".
Dadas las circunstancias, cualquier persona con una cuenta de Facebook o Instagram debería tomarse la molestia de cambiar su contraseña aunque todavía no haya recibido un aviso oficial. De igual forma, sería recomendable utilizar sistemas de verificación seguros como la autenticación en dos pasos, preferentemente usando algún método
que no requiera la introducción del número de teléfono.
Fuente: KrebsOnSecurity