O Facebook corrigiu um bug que fazia com que as palavras-passe de muitos utilizadores fossem armazenadas em texto simples e estivessem visíveis para os colaboradores da rede social.
“Como parte de uma revisão de segurança de rotina em janeiro, descobrimos que algumas palavras-passe de utilizadores estavam a ser armazenadas num formato legível nos nossos sistemas internos de armazenamento de dados”, escreveu Pedro Canahuati, vice-presidente de engenharia, segurança e privacidade do Facebook.
Estima-se que a falha tenha afetado as palavras-passe de “centenas de milhões de utilizadores do Facebook Lite, dezenas de milhões de outros utilizadores do Facebook e dezenas de milhares de utilizadores do Instagram”.
É importante salientar que o gigante das redes sociais afirmou que as palavras-passe nunca estiveram expostas a ninguém fora da empresa e que não detectou nenhum abuso desta falha.
Entretanto, um relatório do jornalista de segurança Brian Krebs, divulgado antes da declaração do Facebook, lançou um pouco mais de luz sobre o assunto.
Citando um funcionário sénior do Facebook, Krebs escreveu que até 600 milhões de pessoas podem ter sido afetadas pelo bug, que deixou as palavras-passe à mercê por mais de 20 mil funcionários do Facebook.
“A minha fonte do Facebook afirmou que os registos de acesso mostraram que cerca de 2.000 engenheiros ou programadores fizeram aproximadamente nove milhões de consultas internas para elementos de dados que continham palavras-passe em texto simples”, escreveu Krebs. Ele afirmou que o problema é que os engenheiros do Facebook criam apps internas que inadvertidamente registam senhas não encriptadas.
O Facebook afirmou num comunicado que vai notificar todos os utilizadores afetados pelo bug, mas não será necessário que eles alterem as suas palavras passe.
Neste contexto, Krebs citou o engenheiro de software do Facebook, Scott Renfro, afirmando que a empresa pretende forçar a redefinição de palavras-passe apenas “nos casos em que definitivamente houve sinais de abuso”.
No entanto, isto pode não ser suficiente para dissipar as preocupações. Assim, será sempre boa ideia alterar a palavra-passe e ativar a autenticação de dois fatores para garantir uma camada extra de segurança.
