Fallo de seguridad en Facebook. Contraseñas sin encriptar en servidores internos




Fallo de seguridad en Facebook. Contraseñas sin encriptar en servidores internos
Fallo de seguridad en Facebook. Contraseñas sin encriptar en servidores internos

Fallo de seguridad en Facebook. Miles de millones de contraseñas de usuarios de Facebook se guardaron durante años sin encriptar.

Miles de millones de contraseñas de usuarios de Facebook se han almacenado durante años en texto plano en lugar de forma encriptada, que han estado expuestas a la vista de los empleados de la compañía.

Los servidores internos de la compañía han almacenado las contraseñas de entre 200 y 600 millones de usuarios de Facebook en texto plano, como informa el analista en ciberseguridad Brian Krebs, en su blog Krebs on Security.

Según una fuente interna, que ha preferido permanecer en el anonimato, la compañía todavía está investigando el número exacto de cuentas afectadas. Algunas se retrotraen hasta 2012. Más de 20,000 empleados de Facebook pueden buscarlas.

Este fallo de seguridad se debe a aplicaciones desarrolladas por los empleados de la compañía que registraban los datos de acceso de los usuarios sin encriptar, los cuales se almacenaban en texto plano (legible) en los servidores internos, como ha explicado la misma fuente.

«Estas contraseñas nunca fueron visibles para ninguna persona fuera de Facebook y no hemos encontrado pruebas hasta la fecha de que alguien internamente abusara o accediera de forma no apropiada a ellas», ha asegurado Facebook en un comunicado publicado en su web oficial.

Aunque no han compartido cifras exactas, la compañía ha informado de que ha afectado a «cientos de millones de usuarios de Facebook Lite, decenas de millones de otros usuarios de Facebook y decenas miles de usuarios de Instagram».

Este error de seguridad se encontró durante una «revisión rutinaria de seguridad» en enero, y a medida que han ido encontrado los problemas, los han ido corriendo, según aseguran desde Facebook.

Facebook ha publicado una declaración sobre este incidente aquí .

Pedro Canahuati , Vicepresidente de Ingeniería, Seguridad y Privacidad.

Como parte de una revisión de seguridad de rutina en enero, descubrimos que algunas contraseñas de los usuarios se almacenaban en un formato legible dentro de nuestros sistemas de almacenamiento de datos internos. Esto nos llamó la atención porque nuestros sistemas de inicio de sesión están diseñados para enmascarar contraseñas utilizando técnicas que las hacen ilegibles. Hemos solucionado estos problemas y, como medida de precaución, notificaremos a todas las personas cuyas contraseñas que hemos encontrado se almacenaron de esta manera.

Para ser claros, estas contraseñas nunca fueron visibles para nadie fuera de Facebook y, hasta la fecha, no hemos encontrado evidencia de que alguien abusó internamente o accedió indebidamente a ellas. Estimamos que notificaremos a cientos de millones de usuarios de Facebook Lite, a decenas de millones de otros usuarios de Facebook y a decenas de miles de usuarios de Instagram. Facebook Lite es una versión de Facebook utilizada principalmente por personas en regiones con menor conectividad.

En el curso de nuestra revisión, hemos estado estudiando las formas en que almacenamos ciertas otras categorías de información, como tokens de acceso, y tenemos problemas resueltos a medida que los descubrimos. No hay nada más importante para nosotros que proteger la información de las personas, y continuaremos haciendo mejoras como parte de nuestros esfuerzos continuos de seguridad en Facebook.

Cómo protegemos las contraseñas de las personas

En línea con las mejores prácticas de seguridad, Facebook enmascara las contraseñas de las personas cuando crean una cuenta para que nadie en la empresa pueda verlas. En términos de seguridad, «hash» y «salt» las contraseñas, incluyendo el uso de una función llamada «scrypt», así como una clave criptográfica que nos permite reemplazar de manera irreversible su contraseña real con un conjunto aleatorio de caracteres. Con esta técnica, podemos validar que una persona está iniciando sesión con la contraseña correcta sin tener que almacenar la contraseña en texto sin formato.

Como sabemos que las personas pueden compartir, reutilizar o que les roben sus contraseñas, hemos desarrollado medidas de seguridad para ayudar a proteger las cuentas de las personas:

  • Usamos una variedad de señales para detectar actividad sospechosa. Por ejemplo, incluso si se ingresa una contraseña correctamente, la trataremos de manera diferente si detectamos que se ingresa desde un dispositivo no reconocido o desde una ubicación inusual. Cuando veamos un intento de inicio de sesión sospechoso, le haremos una pregunta de verificación adicional para demostrar que la persona es el propietario real de la cuenta.
  • Las personas también pueden registrarse para recibir alertas sobre inicios de sesión no reconocidos.
  • Conociendo a algunas personas que reutilizan contraseñas en diferentes servicios, vigilamos los anuncios de violación de datos de otras organizaciones y publicamos bases de datos de credenciales robadas. Nosotros comprobamos si las combinaciones de correo electrónico y contraseña robada coinciden con las mismas credenciales que se utilizan en Facebook. Si encontramos una coincidencia, le notificaremos la próxima vez que inicie sesión y lo guiaremos para cambiar su contraseña.
  • Para minimizar la confianza en las contraseñas, introdujimos la capacidad de registrar una clave de seguridad física en su cuenta, por lo que la próxima vez que inicie sesión simplemente tocará un pequeño dispositivo de hardware que se encuentra en la unidad USB de su computadora. Esta medida es particularmente crítica para usuarios de alto riesgo, incluidos periodistas, activistas, campañas políticas y figuras públicas.

Asegurar su cuenta

Si bien no se expusieron contraseñas externamente y no encontramos evidencia de abuso hasta la fecha, aquí hay algunos pasos que puede tomar para mantener su cuenta segura:

  • Puede cambiar su contraseña en su configuración en Facebook e Instagram . Evite reutilizar contraseñas a través de diferentes servicios.
  • Elija contraseñas seguras y complejas para todas sus cuentas. Las aplicaciones de administrador de contraseñas pueden ayudar.
  • Considere habilitar una clave de seguridad o autenticación de dos factores para proteger su cuenta de Facebook usando códigos de una aplicación de autenticación de terceros . Cuando inicie sesión con su contraseña, le pediremos un código de seguridad o tocaremos su clave de seguridad para verificar que es usted.

Para obtener más información sobre cómo mantener segura su cuenta de Facebook, visite facebook.com/about/security .

Aunque en principio nadie ha abusado de las contraseñas, la compañía aconseja a los usuarios que quieran mejorar la seguridad de sus cuentas, cambiar la contraseña por una nueva, que sea «fuerte y compleja» e, incluso, considerar la activación de un sistema de dos factores.

Fuente: https://krebsonsecurity.com/2019/03/facebook-stored-hundreds-of-millions-of-user-passwords-in-plain-text-for-years/

. Leer artículo completo en Frikipandi Fallo de seguridad en Facebook. Contraseñas sin encriptar en servidores internos.

Te interesa

Hela, de los creadores de Unravel, ha desvelado un nuevo y relajante tráiler que crea el ambiente para esta acogedora aventura

Hela, de los creadores de Unravel, ha desvelado un nuevo y relajante tráiler que crea el ambiente para esta acogedora aventura

Windup Games y Knight Peak han publicado un nuevo y relajante tráiler de Hela, que acaba de debutar hoy …

Últimas noticias de Frikipandi.com

Las noticias se actualizan cada 15 minutos.