Facebook admitió haber almacenado erróneamente “cientos de millones” de contraseñas en texto simple, sin protección por ningún cifrado.
El error, que provocó que las contraseñas de los usuarios se mantuvieran en los servidores internos de Facebook de manera insegura, afecta a “cientos de millones de usuarios de Facebook Lite, decenas de millones de otros usuarios de Facebook y decenas de miles de usuarios de Instagram”, según el informe sitio de redes. Facebook Lite es una versión de Facebook creada para su uso en países donde los datos móviles no son accesibles o no están disponibles.
En un comunicado, el vicepresidente de ingeniería, seguridad y privacidad de Facebook, Pedro Canahuati, dijo: “No hemos encontrado evidencia hasta la fecha de que alguien haya abusado internamente o haya tenido acceso indebido” a las contraseñas, que “nunca fueron visibles para nadie fuera de Facebook”. . Los usuarios afectados serán notificados directamente.
No obstante, el riesgo de mal uso fue alto. De acuerdo con el reportero de seguridad Brian Krebs, quien citó a un “experto senior de Facebook”, “los registros de acceso mostraron que unos 2,000 ingenieros o desarrolladores realizaron aproximadamente nueve millones de consultas internas para elementos de datos que contenían contraseñas de usuario de texto simple”.
La mejor práctica para la seguridad de la contraseña implica una serie de precauciones para garantizar que, incluso si la empresa es hackeada, no se pueden usar las contraseñas robadas. Las contraseñas deben estar “troceadas”, un proceso de una sola vía que transforma cada contraseña en un “hash” único, e idealmente “salted”, asegurando que incluso dos contraseñas idénticas produzcan hashes diferentes. Esas son las prácticas de seguridad que normalmente toma Facebook y que se pasaron por alto en este caso.
Canahuati dijo que Facebook ahora ha solucionado este problema en particular, así como algunos problemas que la compañía ha descubierto en otras características de seguridad, como el código por el cual los usuarios inician sesión a través de otras aplicaciones.
La oficina del comisionado de información advierte a las compañías: “No almacene contraseñas en texto simple: asegúrese de usar un algoritmo de hashing adecuado u otro mecanismo que ofrezca un nivel equivalente de protección contra un atacante que obtenga la contraseña original.
“También debe asegurarse de que la arquitectura alrededor de su sistema de contraseñas no permita ninguna pérdida inadvertida de contraseñas en texto simple”. La guía se refiere al tipo exacto de error que Facebook admitió el jueves.
El ICO no ha emitido una multa únicamente por almacenar las contraseñas de forma insegura, aunque ha citado el almacenamiento inseguro como un factor agravante al penalizar las infracciones de protección de datos más graves.
Con información de The Guardian
