Início » Antivírus e Segurança » Facebook e Instagram guardaram centenas de milhões de senhas em texto puro

Facebook e Instagram guardaram centenas de milhões de senhas em texto puro

Facebook armazenou até 600 milhões de senhas de usuários sem criptografia; rede social diz que não houve vazamento

Felipe Ventura Por

O Facebook parece incapaz de passar algum tempo sem uma brecha enorme de segurança, e hoje não é exceção: a rede social armazenou “centenas de milhões” de senhas em texto puro, que podiam ser acessadas internamente por 20 mil funcionários. Isso afeta inclusive usuários do Facebook Lite e Instagram. A empresa diz que não houve vazamento.

Em comunicado, a empresa afirma: “estimamos que notificaremos centenas de milhões de usuários do Facebook Lite, dezenas de milhões de outros usuários do Facebook, e dezenas de milhares de usuários do Instagram”.

Uma fonte do Facebook conta ao pesquisador de segurança Brian Krebs que o problema afetou entre 200 milhões e 600 milhões de usuários, em alguns casos desde 2012. As senhas em texto puro seriam pesquisáveis internamente por mais de 20 mil funcionários.

Tem mais: cerca de 2 mil engenheiros ou desenvolvedores fizeram aproximadamente 9 milhões de consultas internas que traziam as senhas dos usuários em texto puro.

O Facebook diz que essas senhas só ficaram visíveis dentro da empresa, “e não encontramos nenhuma evidência até o momento de que alguém tenha abusado delas internamente, nem obtido acesso de forma indevida”.

Facebook descobriu problema das senhas em janeiro

Scott Renfro, engenheiro de software no Facebook, diz ao KrebsOnSecurity que o problema foi detectado por engenheiros de segurança em janeiro de 2019. “Isso levou a equipe a montar uma pequena força-tarefa para garantir que fizéssemos uma análise abrangente de qualquer lugar onde isso pudesse estar acontecendo”, ele explica.

Normalmente, o Facebook não armazena suas senhas. É uma medida básica de segurança: as empresas devem usar algoritmos hash e salt para transformá-las em uma sequência aleatória de letras, números e símbolos.

O Facebook explica que usa a função scrypt e uma chave criptográfica “que nos permite substituir irreversivelmente sua senha real por um conjunto aleatório de caracteres”. Dessa forma, a empresa consegue validar o login sem precisar da senha em texto simples.

Renfro diz que o Facebook está investigando “mudanças de infraestrutura de longo prazo para evitar que isso aconteça no futuro”. E no comunicado, a empresa faz as seguintes sugestões:

Com informações: TechCrunch.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Souza

É tão fácil capturar o que a pessoa fez ou deixou de fazer quando se usa senhas guardadas em texto puro. Inclusive a própria senha se captura fácil assim.
Facebook é um lixo de empresa mesmo.

Rmavalli

Consegui uma extensão para o Chrome (Social Book Post Manager) que faz uma limpeza na conta, você abre a página do registro de atividades e coloca pra extensão deletar tudo. O que ela faz é automatizar o processo de clicar na publicação e ir deletando uma por uma. Inclusive com marcações que outras pessoas fizeram na sua timeline.

Agora que deletei tudo isso, vou começar a deletar as informações pessoais que tem na conta e mudar a senha, colocar uma que só vai ficar pro facebook.

paulo yan

Imagina ter aquele(a) ex que trabalha no Facebook revirando todas as suas conversas.

Dayman Novaes

Pra mim não deveria pagar multa nenhuma, não houve quebra de contrato nem violação de propriedade.

Credulos

Segurança e privacidade nunca foram os fortes do Facebook e nunca serão.

Baio-kun

Nossa, nem tinha pensado por esse lado. Pra mim só o fato de que muita gente usa o Facebook em si como forma de login já era m*rda o suficiente, mas também tem as pessoas que usam a mesma senha em outros serviços.

Hora de começar a fazer as apostas. Quanto que o FB vai ter que pagar em multas por isso?

SKY

Deletar? O máximo que você vai conseguir é ocultar... e apenas de você. :P

Dayman Novaes

Não entendi a sua pergunta. Pode reformular?

Rmavalli

Faz muito tempo que não uso Facebook e queria deletar a conta, porém ainda uso pra fazer login em muitas coisas (inclusive Tim Beta). Alguém sabe como eu consigo deletar todas as informações da minha conta, e mantê-la somente com os amigos (para sincronizar com alguns jogos mobile)?

Silvio Ney

Aí eu caio no questionamento: qual o interesse se não de acessar outros sistemas com nosso login/senha que eles tiveram acesso?

Quais "testes" ou "estudos" eles fariam?