Facebook admite que armazenou “centenas de milhões” de senhas de emails em texto simples
Vire os “dias desde o último incidente de segurança do Facebook” de volta a zero.
Facebook confirmou no mês passado em um post no blog da própria empresa, solicitado por um relatório do repórter de segurança cibernética Brian Krebs, que armazenou “centenas de milhões” de senhas de contas em texto puro por anos.
A descoberta foi feita em janeiro, disse Pedro Canahuati, do Facebook, como parte de uma revisão de segurança de rotina. Nenhuma das senhas era visível para ninguém fora do Facebook, disse ele. O Facebook admitiu o lapso de segurança meses depois, depois que Krebs disse que os registros estavam acessíveis a cerca de 2.000 engenheiros e desenvolvedores.
Krebs disse que o bug datava de 2012.
“Isso nos chamou a atenção porque nossos sistemas de login são projetados para mascarar senhas usando técnicas que os tornam ilegíveis”, disse Canahuati. “Até o momento, não encontramos nenhuma evidência de que alguém tenha abusado ou acessado indevidamente internamente”, mas não disse como a empresa chegou a essa conclusão.
O Facebook informou que notificará “centenas de milhões de usuários do Facebook Lite”, uma versão mais leve do Facebook para usuários onde a velocidade da internet é lenta e a largura de banda é alta, e “dezenas de milhões de usuários do Facebook”. milhares de usuários do Instagram ”serão notificados da exposição.
Krebs disse que até 600 milhões de usuários podem ser afetados – cerca de um quinto dos 2,7 bilhões de usuários da empresa, mas o Facebook ainda não confirmou o número.
O Facebook também não disse como o bug surgiu. Armazenar senhas em texto simples legível é uma maneira insegura de armazenar senhas. Empresas, como o Facebook, hash e senhas de sal – duas maneiras de passar senhas – para armazenar senhas com segurança. Isso permite que as empresas verifiquem a senha de um usuário sem saber o que é.
O Twitter e o GitHub foram atingidos por bugs semelhantes, mas independentes, no ano passado. Ambas as empresas disseram que as senhas foram armazenadas em texto puro e não embaralhadas/criptografadas.
É o mais recente de uma série de problemas de segurança embaraçosos na empresa, levando a investigações do Congresso e investigações do governo. Foi relatado na semana passada que os acordos do Facebook que permitiram que outras empresas de tecnologia acessassem os dados da conta sem o consentimento estavam sob investigação criminal.
Não se sabe por que o Facebook demorou meses para confirmar o incidente ou se a empresa informou os órgãos reguladores estaduais ou internacionais de acordo com a notificação de violação dos EUA e com as leis de proteção de dados europeias. Perguntamos ao Facebook, mas um porta-voz não comentou imediatamente além do post do blog.
O escritório irlandês de proteção de dados, que cobre as operações européias do Facebook, disse que a empresa “nos informou sobre esta questão” e que o regulador está “atualmente buscando mais informações”.
