Facebook expuso millones de contraseñas de usuarios a sus empleados

Facebook corrigió un error que provocaba que las contraseñas de muchos de sus usuarios quedaran almacenadas en texto plano y visibles para los empleados de la red social.

“Como parte de una revisión de seguridad de rutina que llevamos a cabo en enero, descubrimos que algunas contraseñas de usuario estaban almacenadas en un formato legible dentro de nuestros sistemas internos de almacenamiento de datos”, escribió en un comunicado Pedro Canahuati, vicepresidente de ingeniería seguridad y privacidad de Facebook, el pasado jueves.

Se estima que la falla afectó las contraseñas de "cientos de millones de usuarios de Facebook Lite, decenas de millones de otros usuarios de Facebook y decenas de miles de usuarios de Instagram".

Es importante destacar que el gigante de las redes sociales dijo que las contraseñas nunca fueron expuestas a nadie fuera de la empresa y que no se detectó ninguna brecha de seguridad.

Mientras tanto, un informe del periodista de seguridad Brian Krebs, publicado antes de la declaración de Facebook, arroja un poco más de luz sobre el tema.

Citando a un empleado senior de Facebook, Krebs escribió que hasta 600 millones de personas pueden haberse visto afectadas por este error que dejó las contraseñas accesibles para más de 20 000 empleados de Facebook. Se dijo que al menos algunas de las contraseñas se amazeron de forma segura, es decir, sin sal y sin hash, desde 2012.

"Mi fuente en Facebook me dijo que los registros de acceso mostraron que unos 2,000 ingenieros o desarrolladores realizaron aproximadamente nueve millones de consultas internas por elementos de datos que contenían conserñas de usuario en texto simple", escribió Krebs. Dijo que el problema detectado estaba en el lugar donde los ingenieros de Facebook estaban diseñando aplicaciones internas y que allí estaban registrando las contraseñas no encriptadas de una gran cantidad de usuarios.

En el comunicado público Facebook asegura que avisará a todos los usuarios afectados por el error, pero no les exigirá que cambien sus contraseñas.

En este contexto, Krebs citó al ingeniero de software de Facebook, Scott Renfro, quien dijo que la empresa tiene la intención de forzar el restablecimiento de las contraseñas solo "en los casos en que definitivamente haya signos de abuso". Para Facebook, este no es el caso.

Sin embargo, esto no puede ser suficiente para disipar sus inquietudes. Si es así, te puede interesar cambiar tu contraseña y activar el factor de doble autenticación para una capa adicional de seguridad en tu cuenta.