Facebook dijo el jueves que almacenó durante años millones de contraseñas de sus usuarios en un archivo de texto simple y sin encriptar.
El reconocimiento del gigante de las redes sociales se produjo después de que un investigador de seguridad publicara en línea un artículo sobre el tema.
La regla más básica de seguridad dicta que, bajo ninguna circunstancia, las contraseñas deben ser almacenadas en texto sencillo, y en todo momento deben estar encriptadas», dijo el experto en ciberseguridad Andrei Barysevich de la firma Recorded Future. «No hay ninguna razón válida por la que alguien en una organización, especialmente del tamaño de Facebook, necesite tener acceso a las contraseñas de los usuarios en un texto no cifrado».
Facebook dijo que no hay evidencia de que sus empleados hicieran mal uso del acceso que tenían a estos datos. Sin embargo, miles de empleados pudieron haberlos buscado. La compañía dijo que las contraseñas se almacenaban en servidores internos de la compañía, y que nadie fuera tuvo acceso. Pero el incidente revela una enorme omisión de la compañía entre los varios golpes y tropezones de los últimos dos años.
El blog de seguridad KrebsOnSecurity dijo que las contraseñas de unos 600 millones de usuarios pudieron haberse almacenando en texto simple. Facebook dijo en una publicación el jueves que probablemente notificará a “cientos de millones” de usuarios de Facebook Lite, millones de usuarios de Facebook y decenas de miles de usuarios de Instagram que sus contraseñas fueron almacenadas en este formato. Facebook Lite está diseñado para usuarios con teléfonos más viejos y conexiones lentas de internet, y se usa principalmente en países en desarrollo.
Facebook agregó que descubrió el problema en enero. Pero según Brian Krebs, investigador de seguridad, en algunos casos las contraseñas llevaban desde 2012 almacenadas como texto simple. Facebook Lite se lanzó en 2015 y Facebook compró Instagram en 2012.
Barysevich dijo que no recuerda que se supiera de una compañía grande exponiendo contraseñas a nivel interno. Agregó que ha visto varios casos donde organizaciones mucho más pequeñas hicieron que dicha información estuviera disponible fácilmente no sólo para programadores, también para equipos de atención al cliente.