Facebook expuso las contraseñas de 200 millones de usuarios guardándolas sin encriptar

Facebook 

Facebook ha anunciado esta tarde que las contraseñas muchos usuarios habían sido almacenadas en texto y fueron accesibles para los empleados. Según los expertos de la compañía, el problema ha afectado a cientos de millones de usuarios de Facebook y decenas de miles de usuarios de Instagram. Según la red social, los expertos no han encontrado evidencia de fugas de información.

La mayoría de los servicios modernos de Internet no almacenan las contraseñas de los usuarios en sí, sino los valores de hash calculados para ellos. Durante el hashing, la contraseña original de longitud arbitraria se transforma en otra secuencia de caracteres de cierta longitud. La característica de las funciones hash utilizadas para esto hacen que sea casi imposible de realizar la operación inversa, es decir, recuperar la contraseña del hash.

Además, las funciones de hash rara vez colisionan, es decir, el mismo hash para diferentes entradas. Estas propiedades hacen que las funciones hash sean una herramienta conveniente que le permite verificar la contraseña de un usuario, pero no almacenarla. Con la implementación correcta del procesamiento de contraseñas, un hacker no podría obtener contraseñas.

El error de Facebook

Tal como resultó ahora, Facebook no proceso correctamente las contraseñas cuando fueron ingresadas y cientos de millones de usuarios estuvieron potencialmente en riesgo. En un comunicado, la compañía dijo que sus especialistas se dieron cuenta de este problema en enero durante un control de seguridad del servicio.

Los desarrolladores descubrieron que las contraseñas de cientos de millones de usuarios de Facebook Lite, decenas de millones de usuarios de otros servicios de Facebook y decenas de miles de usuarios de Instagram se almacenaban en los servidores de la compañía de forma legible, y no como hashes. Además, después del descubrimiento de esta vulnerabilidad, los expertos también encontraron problemas para almacenar otra información, incluidos los tokens de acceso.

La compañía asegura que todos los problemas se han solucionado y los usuarios afectados recibirán una notificación, pero no los obligarán a cambiar su contraseña. De acuerdo a Facebook, su investigación no mostró que alguien ajeno a la empresa tuviera acceso a contraseñas o que algunos de los empleados usaran los datos para sus propios fines.

El blog Krebs on Security informó, citando fuentes de la compañía, que aproximadamente 20,000 empleados de Facebook potencialmente tuvieron acceso a las contraseñas. Además, los archivos de registro mostraron que cerca de dos mil de ellos recibieron esta información, pero no se sabe exactamente cómo la utilizaron. Según las fuentes, algunas contraseñas se han almacenado de esta forma desde 2012.

De un tiempo atrás, solo se conocen malas noticias sobre Facebook. Hace solo unos días la plataforma fue utilizada para transmitir un ataque terrorista en Nueva Zelanda y la semana anterior, la compañía experimentó una de sus peores caídas de servicio.


Victor Román
Esta noticia ha sido publicada originalmente en N+1, ciencia que suma.

Sobre N+1: Es la primera revista online de divulgación científica y tecnológica que permite la reproducción total o parcial de sus contenidos por medios de comunicación, bloggers e influencers, realizando la mención del texto y el enlace a la web: “Esta noticia ha sido publicada originalmente en la revista N+1, ciencia que sumawww.nmas1.org”.  

 

Novedades

Nuestro reportero del futuro Juan Scaliter, autor de "Exploradores del futuro" y "La Ciencia de los Superhéroes", viaja cinco años hacia adelante y nos envía la primera de sus historias sobre todo lo que presencia desde la perspectiva de una familia común y corriente.

La otra vida de Pi: el transporte del 2025

Al cumplirse casi cinco años de iniciada la pandemia, los autos privados son prohibidos, la inteligencia artificial invade el transporte, y la energía solar amenaza a la energía eléctrica

Suscríbete

Déjanos tu mail para recibir nuestro boletín de noticias

La confirmación ha sido enviada a tu correo.