Luego que se haya dado a conocer la noticia de que Facebook estuvo almacenando las contraseñas en formato de texto plano; por supuesto y con todos los inconvenientes que esta teniendo sus sistemas; y con todas las criticas que esta recibiendo es que publico un informe completo deslindándose del problema.

No hay dudas que esto es un gravísimo error de seguridad; ya que las personas que trabajan en seguridad saben que no se puede guardar una contraseña con al menos un hash de cifrado básico. Recuerdo que incluso Linux en el año 2000 paso de guardar las claves de usuario en formato plano a un formato cifrado dentro del mismo sistema…

Almacenar las contraseñas de cientos de millones de usuarios en texto plano sin aplicarle ningún tipo de cifrado, por lo que tu contraseña ha sido accesible. Tanto como 200 y 600 millones de contraseñas de Facebook han estado almacenadas en texto plano!!!.

La propia Facebook ha confirmado el fallo en un post en su blog que han titulado “manteniendo las contraseñas seguras”, el cual podran luego de nuestra nota.

Estas contraseñas en texto plano pudieron ser accedidas por cualquier empleado, quienes podrían haberlas obtenido sin dejar rastro y ademas haber acabado en manos de ciberdelincuentes. Facebook afirma que no tiene evidencias de que las contraseñas hayan estado expuestas fuera de la empresa, ni tampoco de que ningún empleado haya accedido a ellas. Pero a pesar de ello, Facebook dice que hay evidencia de que al menos 2.000 empleados buscaron a través de los archivos que contenían las contraseñas almacenadas en texto plano.

El registro de contraseñas empezó en 2012, pero no se sabe con qué fin. Y tampoco lo sabremos!!!.

Copiamos la nota de descargo completo: 

Por Pedro Canahuati, VP de Ingeniería, Seguridad y Privacidad

Como parte de nuestras revisiones rutinarias de seguridad, en enero detectamos que las contraseñas de algunos usuarios estaban siendo almacenadas dentro de nuestros sistemas en un formato legible. Este hallazgo llamó nuestra atención porque los procesos de login están diseñados para ocultar las contraseñas, usando técnicas que las transforma en ilegibles. Ya hemos solucionado este asunto y, de manera preventiva, estaremos notificando a todas las personas cuyas contraseñas fueron guardadas de esta manera.

Para ser claro, estas claves nunca fueron visibles para nadie fuera de Facebook y no hemos hallado ninguna evidencia hasta el momento de que haya habido abusos internos o accesos inapropiados. Estimamos que vamos a notificar a cientos de millones de usuarios de Facebook Lite y a decenas de millones de otros usuarios de Facebook e Instagram.

Durante nuestra revisión, analizamos la manera en la que guardamos otras categorías de información – como el acceso a tokens – y hemos corregido los problemas a medida que los fuimos detectando. No hay nada más importante para nosotros que proteger la información de la personas y es por eso que continuaremos trabajando en mejoras como parte de nuestros esfuerzos constantes de seguridad en Facebook.

Como protegemos las claves de las personas

En línea con las mejores prácticas de seguridad de la industria, Facebook enmascara las contraseñas cuando una persona crea una cuenta, de tal forma que éstas no puedan ser vistas por nadie en la empresa. Por razones de seguridad, ciframos las claves usando una práctica que incluye la función llamada “scrypt”, junto con una contraseña encriptada que nos permite reemplazar la clave de manera irreversible a través de un conjunto de caracteres elegido al azar. Mediante esta técnica, podemos validar cuando una persona está accediendo con la contraseña correcta sin tener que almacenar su clave en formato de texto legible.

Como sabemos que las personas podrían compartir, reutilizar o incluso ser víctimas de un robo de sus contraseñas, desarrollamos medidas de seguridad para proteger las cuentas:

  • Utilizamos señales distintas para detectar actividades sospechosas. Por ejemplo, cuando un usuario ingresa correctamente una contraseña desde su dispositivo y ubicación habitual, tratamos este inicio de sesión de manera diferente a como lo haríamos cuando alguien intenta acceder a su cuenta desde un teléfono no reconocido en un país extranjero. Cuando detectemos un inicio de sesión sospechoso, hacemos una pregunta de verificación adicional para demostrar que la persona es el propietario real de la cuenta.
  • Las personas también pueden registrarse para recibir alertas sobre inicios de sesión no reconocidos.
  • Sabiendo que algunas personas reutilizan contraseñas en diferentes servicios, vigilamos muy de cerca los anuncios sobre violación de datos de otras organizaciones y la publicación de las bases de datos de las credenciales que han sido robadas. Posteriormente, revisamos si esa combinación de correo electrónico y contraseña robada coincide con la misma combinación siendo usada en Facebook y si encontramos coincidencia, notificaremos al usuario la próxima vez que inicie sesión y lo guiaremos en el proceso de cambiar su contraseña.
  • Para minimizar la dependencia de las contraseñas, hemos introducido la posibilidad de registrar una clave de seguridad física, a fin de que la próxima vez que el usuario inicie sesión, simplemente toque un pequeño dispositivo de hardware que se encuentra en la unidad de USB de su computadora. Esta medida, es particularmente crítica para usuarios de alto riesgo, incluidos periodistas, activistas, cuentas de campañas políticas y figuras públicas.
Asegurando tu cuenta

Si bien las contraseñas no fueron expuestas externamente y no hemos encontrado evidencia de abuso hasta la fecha, aquí hay algunas medidas que se pueden seguir para mantener su cuenta segura:

  • Puedes cambiar tu contraseña en la sección de configuración en Facebook e Instagram. Evita reutilizar contraseñas entre distintos servicios.
  • Elige contraseñas seguras y complejas para todas tus cuentas. Las aplicaciones de administración de contraseñas pueden ser de gran ayuda.
  • Considera habilitar una clave de seguridad o la autenticación de dos factores para proteger tu cuenta de Facebook utilizando códigos de una aplicación de autenticación de terceros. cuando inicies sesión con tu contraseña, pediremos un código de seguridad o tocar su clave de seguridad para verificar que efectivamente eres tú.

Para mayor información sobre cómo mantener tu cuenta de Facebook segura, por favor visita: https://www.facebook.com/about/security.

Anuncios