Facebook admite que almacenó "cientos de millones" de contraseñas de cuentas en texto simple

Facebook admite que almacenó "cientos de millones" de contraseñas de cuentas en texto simple

Voltear los "días desde el último Facebook incidente de seguridad "de vuelta a cero.

Facebook confirmó el jueves en una publicación del blog, según un informe del reportero de ciberseguridad Brian Krebs, que almacenó "cientos de millones" de contraseñas de cuentas en texto sin formato durante años.

El descubrimiento se realizó en enero, dijo Pedro Canahuati de Facebook, como parte de una revisión de seguridad de rutina. Ninguna de las contraseñas era visible para nadie fuera de Facebook, dijo. Facebook admitió el lapso de seguridad meses después, después de que Krebs dijera que los registros eran accesibles a unos 2.000 ingenieros y desarrolladores.

Krebs dijo que el error se remonta a 2012.

"Esto llamó nuestra atención porque nuestros sistemas de inicio de sesión están diseñados para enmascarar contraseñas utilizando técnicas que las hacen ilegibles", dijo Canahuati "No hemos encontrado evidencia hasta la fecha de que alguien haya abusado internamente o haya accedido indebidamente a ellos", pero no dijo cómo la compañía llegó a esa conclusión.

Facebook dijo que notificará a "cientos de millones de usuarios de Facebook Lite", una versión más liviana de Facebook para usuarios donde las velocidades de Internet son lentas y el ancho de banda es caro, y "decenas de millones de otros usuarios de Facebook". La compañía también dijo "decenas de usuarios". miles de Instagram Los usuarios serán notificados de la exposición.

Krebs dijo que hasta 600 millones de usuarios podrían verse afectados, aproximadamente una quinta parte de los 2,7 mil millones de usuarios de la compañía, pero Facebook aún tiene que confirmar la cifra.

Facebook tampoco dijo cómo surgió el error. Almacenar contraseñas en texto plano legible es una forma insegura de almacenar contraseñas. Empresas, como Facebook, Contraseñas de hash y salt: dos formas de codificar más las contraseñas para almacenar las contraseñas de forma segura. Eso permite a las empresas verificar la contraseña de un usuario sin saber cuál es.

Twitter y GitHub fueron afectados por errores similares pero independientes el año pasado. Ambas compañías dijeron que las contraseñas se almacenaban en texto plano y no codificadas.

Es lo último en una serie de problemas de seguridad vergonzosos en la empresa, lo que provocó consultas en el Congreso e investigaciones gubernamentales. La semana pasada se informó que los acuerdos de Facebook que permitían a otras compañías de tecnología acceder a los datos de la cuenta sin consentimiento estaban bajo investigación criminal.

No se sabe por qué Facebook tardó meses en confirmar el incidente, o si la compañía informó a los reguladores estatales o internacionales por notificación de incumplimiento de los EE. UU. Y las leyes europeas de protección de datos. Le preguntamos a Facebook pero un portavoz No comenté inmediatamente más allá de la publicación del blog.

La oficina irlandesa de protección de datos, que cubre las operaciones europeas de Facebook, dijo que la compañía "nos informó de este problema" y que el regulador está "actualmente buscando más información".


Source link