O Facebook admite “centenas de milhões” de senhas armazenadas sem proteção

Facebook admits “hundreds of millions” of passwords stored unprotected

O Facebook admitiu armazenar centenas de milhões de senhas de usuários em texto sem formatação e potencialmente acessíveis por seus funcionários, durante anos, embora a rede social insista que não há sinal de que suas más práticas de segurança tenham sido aproveitadas. Mesmo assim, o Facebook planeja notificar todos os usuários cuja senha foi armazenada dessa maneira.

No entanto, o Facebook não forçará esses usuários a redefinir suas senhas. Em casos de falhas de segurança anteriores, o site bloqueou proativamente as contas dos usuários afetados e exigiu que eles criassem uma nova senha antes que pudessem recuperar o acesso.

O erro de segurança foi detectado pelo pesquisador Brian Krebs, que descobriu que o gerenciamento incorreto de senhas do Facebook datava em alguns casos até 2012. Os funcionários da rede social aparentemente “criaram aplicativos que registravam dados de senhas não criptografados para usuários do Facebook e os armazenavam em texto simples. em servidores internos da empresa ”, de acordo com um membro sênior da equipe. Qualquer coisa entre 200 milhões e 600 milhões de usuários poderia ter sido impactada, segundo a investigação em andamento do Facebook.

O Facebook confirmou a revisão, embora tenha tentado minimizar sua gravidade. Segundo a empresa, “algumas senhas de usuários” foram armazenadas em um formato legível. A questão foi resolvida, diz o Facebook. No entanto, o número de pessoas que serão alertadas de que suas senhas foram afetadas é significativo.

“Para deixar claro, essas senhas nunca foram visíveis para ninguém fora do Facebook e não encontramos evidências até o momento de que alguém tenha abusado internamente ou acessado indevidamente”, insiste o Facebook. “Estimamos que notificaremos centenas de milhões de usuários do Facebook Lite, dezenas de milhões de outros usuários do Facebook e dezenas de milhares de usuários do Instagram”.

A rede social também aponta as maneiras pelas quais tenta evitar o acesso não autorizado aos perfis de seus usuários. Isso inclui autenticação de dois fatores, alertas enviados para tentativas de login de locais novos ou não reconhecidos e monitoramento de violações de dados em outros serviços que podem ter visto usuários reciclando senhas para o Facebook. Obviamente, tudo isso não ajuda muito se você estiver armazenando essas senhas em um arquivo de texto simples em algum lugar.

A investigação do Facebook está em andamento. O erro foi detectado inicialmente em janeiro de 2019, disse o engenheiro de software Scott Renfro, após uma revisão de segurança de rotina do novo código. Eles descobriram que as senhas também estavam sendo registradas em texto simples.

“Nesta situação, descobrimos que essas senhas foram registradas inadvertidamente, mas que não havia nenhum risco real disso”, ressaltou Renfro. Quanto à razão pela qual o Facebook não implementará uma alteração obrigatória de senha, o engenheiro diz que seria uma reação exagerada. “Queremos ter certeza de que estamos reservando essas etapas e forçar apenas uma alteração de senha nos casos em que há definitivamente sinais de abuso”.

O que resta saber é se o lapso trará um maior escrutínio regulatório para o Facebook. A empresa sofreu numerosos problemas de segurança nos últimos anos, levando políticos e outros a exigir controles mais rígidos. Ao mesmo tempo, o armazenamento de senhas em texto simples pode muito bem ver o Facebook violando as leis européias do GDPR (Regulamento Geral de Proteção de Dados).

No ano passado, de fato, uma empresa de mídia social foi multada, mas a União Europeia por armazenar senhas em texto sem formatação, após uma violação de dados que afetou 800.000 pessoas. A multa foi mantida intencionalmente baixa, com observadores de dados citando a cooperação da empresa e o desejo de evitar a falência com uma carga financeira indevida. Se seria tão generoso com o Facebook, se os esforços legais começarem sobre essa questão, resta saber.

0 Shares