El software de Facebook destinado a ocultar las contraseñas de los usuarios del acceso a los empleados falló, dejando millones de contraseñas visibles para los empleados de la red, comunicó la compañía el jueves 21 de marzo. La red dijo que el error se descubrió en una revisión de rutina en enero y desde entonces se ha corregido. El error expuso las contraseñas de los usuarios en Facebook, Facebook Lite e Instagram.
Facebook no ha encontrado ninguna evidencia de que las contraseñas hayan estado comprometidas externamente: el error solo exponía las contraseñas de texto sin formato para los empleados de la empresa, según Facebook. La compañía también dijo que no ha encontrado evidencia de empleados internos que abusaran de la información. La compañía no dijo por qué demoró casi dos meses en avisar a los usuarios después haber encontrado el error en enero.
Las contraseñas en Facebook están destinadas a ser encriptadas. La red elimina la contraseña, lo que permite que el sistema reconozca la contraseña correcta sin almacenar los datos en texto sin formato. Para los empleados que trabajan en el “backend” (sistema de información) de Facebook, las contraseñas deben verse como caracteres desordenados que no se pueden revertir para mostrar la contraseña real.
Facebook dice que notificará a los usuarios afectados por este error. La compañía estima que cientos de millones de usuarios de Facebook Lite se vieron afectados, la aplicación liviana de Facebook diseñada para conexiones más lentas. Decenas de millones de otros usuarios de Facebook también podrían tener contraseñas comprometidas, junto con decenas de miles de usuarios de Instagram.
Facebook dice que el “hash” se usa con otros procedimientos para la protección de contraseña, para reconocer cuando un usuario inicia sesión con un dispositivo diferente y solicitar una verificación. La red dice que también comprueban otras violaciones de contraseña, ya que los usuarios a veces usan las mismas contraseñas en varios sitios web.
«En el curso de nuestra revisión, hemos estado examinando las formas en que almacenamos ciertas otras categorías de información, como tokens de acceso, y hemos solucionado los problemas a medida que los hemos descubierto», escribió Pedro Canahuati, vicepresidente de ingeniería, seguridad y privacidad de Facebook en un blog escribió en un blog. «No hay nada más importante para nosotros que proteger la información de las personas, y continuaremos haciendo mejoras como parte de nuestros esfuerzos continuos de seguridad en Facebook».
Facebook dice que los usuarios interesados pueden restablecer su contraseña para Facebook e Instagram dentro de la configuración de cada cuenta. La empresa también sugiere utilizar claves de seguridad y autenticación de dos factores. (Sin embargo, Facebook usa tu número de teléfono para una autenticación de más de dos factores, por lo que recomendamos usar una aplicación de autenticación de terceros en lugar de un número de teléfono).
Para Facebook, el error de la contraseña es solo un punto más en la creciente lista de problemas de datos de la red tras el escándalo de Cambridge Analytica. El CEO Mark Zuckerberg compartió recientemente su visión de avanzar hacia una red más centrada en la privacidad, luego de un mayor escrutinio sobre las prácticas de datos de la compañía.