Facebook e Instagram guardaram centenas de milhões de senhas em texto puro
Facebook armazenou até 600 milhões de senhas de usuários sem criptografia; rede social diz que não houve vazamento
O Facebook parece incapaz de passar algum tempo sem uma brecha enorme de segurança, e hoje não é exceção: a rede social armazenou “centenas de milhões” de senhas em texto puro, que podiam ser acessadas internamente por 20 mil funcionários. Isso afeta inclusive usuários do Facebook Lite e Instagram. A empresa diz que não houve vazamento.
- É seguro fazer login com contas do Facebook e do Google?
- Teste a velocidade da sua internet através do Speed Test do Tecnoblog
Em comunicado, a empresa afirma: “estimamos que notificaremos centenas de milhões de usuários do Facebook Lite, dezenas de milhões de outros usuários do Facebook, e dezenas de milhares de usuários do Instagram”.
Uma fonte do Facebook conta ao pesquisador de segurança Brian Krebs que o problema afetou entre 200 milhões e 600 milhões de usuários, em alguns casos desde 2012. As senhas em texto puro seriam pesquisáveis internamente por mais de 20 mil funcionários.
Tem mais: cerca de 2 mil engenheiros ou desenvolvedores fizeram aproximadamente 9 milhões de consultas internas que traziam as senhas dos usuários em texto puro.
O Facebook diz que essas senhas só ficaram visíveis dentro da empresa, “e não encontramos nenhuma evidência até o momento de que alguém tenha abusado delas internamente, nem obtido acesso de forma indevida”.
Facebook descobriu problema das senhas em janeiro
Scott Renfro, engenheiro de software no Facebook, diz ao KrebsOnSecurity que o problema foi detectado por engenheiros de segurança em janeiro de 2019. “Isso levou a equipe a montar uma pequena força-tarefa para garantir que fizéssemos uma análise abrangente de qualquer lugar onde isso pudesse estar acontecendo”, ele explica.
Normalmente, o Facebook não armazena suas senhas. É uma medida básica de segurança: as empresas devem usar algoritmos hash e salt para transformá-las em uma sequência aleatória de letras, números e símbolos.
O Facebook explica que usa a função scrypt e uma chave criptográfica “que nos permite substituir irreversivelmente sua senha real por um conjunto aleatório de caracteres”. Dessa forma, a empresa consegue validar o login sem precisar da senha em texto simples.
Renfro diz que o Facebook está investigando “mudanças de infraestrutura de longo prazo para evitar que isso aconteça no futuro”. E no comunicado, a empresa faz as seguintes sugestões:
- altere sua senha do Facebook e Instagram;
- não reutilize senhas em diferentes serviços;
- use senhas fortes e complexas para todas as suas contas, contando com a ajuda de gerenciadores de senhas;
- ative a autenticação de dois fatores ou use uma chave de segurança.
Com informações: TechCrunch.
