Milhões de senhas do Facebook e Instagram foram guardadas em texto puro

O Facebook acaba de se meter em mais um rolo, desta vez envolvendo senhas: a companhia admitiu que armazenou mais de 600 milhões delas em texto puro, sem nenhuma camada de criptografia. A falha afetou contas do Facebook e do Facebook Lite (o app da rede social voltado a regiões com conexões inferiores), além de perfis do Instagram.

• Facebook compartilha número de celular com todos por padrão
• Facebook se recusou a impedir compras em games feitas por crianças

A trapalhada foi revelada pelo próprio Facebook, através de um comunicado oficial publicado nesta quinta-feira (21). Segundo a companhia, a falha afetou "centenas de milhões de usuários do Facebook Lite, dezenas de milhões do Facebook, e outras dezenas de milhares do Instagram", que serão notificados e recomendados a mudarem suas senhas. Não foram revelados números oficiais, mas até onde se sabe, a burrada foi grande, muito grande.

De acordo com uma fonte interna, que entrou em contato com o pesquisador de segurança Brian Krebs, o número de perfis afetados gira entre 200 milhões e 600 milhões, onde todos tiveram suas senhas armazenadas completamente à vista, sem nenhum tipo de criptografia, e acessíveis livremente pelos cerca de 20 mil funcionários do Facebook.

Calma que piora: tais senhas foram consultadas cerca de 9 milhões de vezes, por pelo menos 2 mil engenheiros do Facebook. Sabendo-se que é de costume de muitos usuários utilizarem os mesmos dados de login (e-mail e senha) em diversos serviços, a possibilidade de que Zuck e cia. tenham tido acesso a dados de fora de suas redes, entre concorrentes e plataformas das mais diversas, é muito grande. O Facebook nega, mas dado o histórico...

Em situações normais, uma senha de usuário não é armazenada, e sim transformada em uma string indecifrável, através do uso de algoritmos. O Facebook afirma que identificou a falha em janeiro, e que normalmente utiliza uma função scrypt para gerar uma chave criptográfica de autenticação, portanto, não há como precisar desde quando as senhas vêm sendo salvas em texto puro. Sem contar que a empresa levou dois meses para revelar a presepada.

De acordo com Scott Renfro, engenheiro de software do Facebook, a empresa "estava se preparando" para recomendar aos usuários que mudassem suas senhas, mas não o fez de imediato, por não ter detectado nenhum vazamento de dados. De fato, o comunicado oficial diz que o usuário "pode mudar a senha", e não que deve, logo, o Facebook está tratando tal falha grotesca (que pode até ter sido intencional, nunca se sabe) como um incidente menor.

Renfro diz que o Facebook está fazendo "mudanças na infraestrutura", de modo que este incidente não mais se repita. Do lado do usuário, o que se deve fazer agora é:

• Alterar as senhas do Facebook e do Instagram;
• Evitar reutilizar senhas em mais de um serviço;
• Utilizar senhas fortes (mas que você possa lembrar) em todas as suas contas e serviços;
• Utilizar algum gerenciador de senhas (extremamente recomendado);
• Ativar a autenticação de dois fatores, mas não a nativa do Facebook; dê preferência a apps de terceiros, como Authy, Microsoft Authenticator, Google Authenticator e outros.

Com informações: Facebook, TechCrunch, Krebs on Security.