Facebook armazenava senha em claro e colaboradores tinham acesso desde 2012

Facebook armazenava senha em claro e colaboradores tinham acesso desde 2012. O Facebook corrigiu um problema de segurança interna que permitia à empresa armazenar milhões de senhas de usuários em texto simples e que estavam disponíveis aos colaboradores por meio de uma ferramenta interna de busca. A notícia foi divulgada em um relatório publicado quinta-feira, 21 de março, pela Krebs on Security.

O gigante da mídia social armazenou entre 200 e 600 milhões de senhas em texto simples, algumas das quais datam de 2012. Internamente, cerca de 20.000 colaboradores poderiam acessar os dados, o Facebook diz que “há uma investigação em andamento e até agora não encontrou nenhuma indicação de que os funcionários tenham abusado do acesso a esses dados” , de acordo com Krebs.

Em nota divulgada nesta quinta-feira, Pedro Canahuati, vice-presidente de Engenharia, Segurança e Privacidade do Facebook, afirma que a empresa parou a prática de armazenar senhas em texto puro e que ninguém de fora da empresa acessou os dados.

No entanto, Krebs relata que, nos últimos anos, cerca de 2.000 engenheiros e desenvolvedores do Facebook fizeram cerca de 9 milhões de consultas internas de dados, que usaram muitas dessas senhas de texto simples.

“Se alguma vez descobrirmos o motivo pelo qual @facebook estava armazenando as senhas claramente, eu apostaria que as probabilidades de 2: 1 de que elas estavam sendo registradas como um parâmetro de URL ou usadas para representar os usuários para ver a experiência do usuário em primeira mão.” https://t.co/z2C4rvqpq5

– Jake Williams (@MalwareJake) 21 de março de 2019

Quase imediatamente depois que o post da Krebs foi divulgado, o Facebook divulgou uma declaração de que a questão foi descoberta em janeiro e que a empresa a corrigiu e que nenhuma senha vazou. Apesar das garantias, a empresa provavelmente enfrentará uma análise adicional sobre como trata os dados e a privacidade dos usuários.

Usuários do Facebook já estão sendo notificados. Solicitado para comentar, um porta-voz da empresa retornou ao Information Security Media Group referindo-se à declaração postada em seu site de imprensa.

Para ser claro, essas senhas nunca foram visíveis para ninguém fora do Facebook e não encontramos nenhuma evidência até o momento de que alguém tenha abusado ou acessado indevidamente,” escreveu Canahuati. “Estimamos que notificaremos centenas de milhões de usuários do Facebook Lite, dezenas de milhões de outros usuários do Facebook e dezenas de milhares de usuários do Instagram.

Em entrevista ao KrebsOnSecurity, o engenheiro de software do Facebook, Scott Renfro, disse que a empresa não estava pronta para falar sobre números específicos, como por exemplo o número de funcionários do Facebook que poderiam ter acessado os dados.

Renfro disse que a empresa planeja alertar os usuários afetados do Facebook, mas que nenhuma redefinição de senhas seria necessária.

Até o momento, não encontramos nenhum caso em nossas investigações em que alguém estivesse procurando intencionalmente senhas, nem encontramos sinais de uso indevido desses dados“, disse Renfro. “Nessa situação, descobrimos que essas senhas foram registradas inadvertidamente, mas não houve risco real decorrente disso. Queremos garantir que estamos reservando essas etapas e forçar uma mudança de senha apenas nos casos em que definitivamente houve sinais de abuso.

O problema não afeta somente os usuários do Facebook, mas também os usuários do Facebook Light e Instagram!

Uma declaração por escrito do Facebook fornecida à KrebsOnSecurity diz que a empresa espera notificar “centenas de milhões de usuários do Facebook Lite, dezenas de milhões de outros usuários do Facebook e dezenas de milhares de usuários do Instagram”. O Facebook Lite é uma versão do Facebook projetada para baixo conexões de velocidade e telefones de baixa especificação.

Senhas expostas

O Facebook é apenas o exemplo mais recente de empresas que expuseram senhas de usuários por meio de texto simples.

Em maio de 2018, o rival de mídia social Twitter instou seus 330 milhões de usuários ao redor do mundo a mudarem suas senhas depois de um bug no processo de hash, que substitui a senha por uma seqüência de caracteres aleatórios, salvando senhas em texto simples em um log interno. .

Um bug semelhante no sistema do GitHub também expôs senhas de usuários em texto simples na mesma época em que o Twitter relatou seu problema. Não está claro quantas contas de usuário foram expostas nesse caso, mas a empresa insistiu com qualquer um que achasse que sua senha estava exposta para redefini-la.

Em sua declaração de quinta-feira, Canahuati, do Facebook, escreve que a empresa usa métodos de hashing para esconder senhas, assim como chaves criptográficas para substituir senhas por uma série aleatória de caracteres.

 Fonte: BankInfo Security & Facebook Newsroom & Krebson Security

Veja também:

About mindsecblog 2774 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

9 Trackbacks / Pingbacks

  1. As vantagens de fortalecer a conscientização em segurança da informação
  2. PERDEU ? Assista a gravação: O que NÃO te contaram sobre as Resoluções 4658 e 3990 do BACEN!
  3. Câmera escondida monitora família hospedada pelo Airbnb
  4. Vulnerabilidade permite alterar o resultado de uma Tomografia Computadorizada
  5. MS nega vazamento de 2 Milhões de dados do SUS
  6. Vários aplicativos corporativos de VPN permitem que invasores ignorem a autenticação
  7. Microsoft informa usuários sobre violação que afetou o Outlook
  8. Mulheres ganham espaço em Cybersecurity - Minuto da Segurança da Informação
  9. G-SUITE armazenou senha de usuários corporativos em claro por 14 anos

Deixe sua opinião!