Facebook confirma que senhas de usuários podiam ser lidas por funcionários
A empresa diz que descobriu o problema em janeiro e que ele foi solucionado. A rede social diz que não há necessidade de troca de senhas
O Facebook confirmou nesta quinta-feira (21) uma denúncia de que a empresa salvava senhas em arquivos de texto que podiam ser lidas por funcionários. A rede social disse que uma investigação em andamento, até agora, não revelou nenhum sinal de que algum funcionário tenha abusado do acesso a esses dados.
Em nota, o Facebook disse ter percebido o problema em janeiro deste ano e que, na ocasião, tomou as medidas necessárias para resolver a questão.
A empresa também afirmou que não é necessário efetuar a troca de senhas, mas que vai notificar milhões de usuários sobre a falha. Os principais afetados foram usuários do serviço Facebook Lite, aplicativo da rede social para aparelhos antigos e conexões lentas. "Serão notificados centenas de milhões de usuários do Facebook Lite, dezenas de milhões de outros usuários do Facebook e dezenas de milhares de usuários do Instagram", disse a empresa em nota.
Pedro Canahuati, vice-presidente de Engenharia, Segurança e Privacidade da rede social afirmou que essas senhas nunca estiveram visíveis para alguém fora do Facebook e que a empresa não encontrou nenhuma evidência de abuso interno.
O caso foi trazido à tona pelo site especializado em segurança “Krabs on Security”, que entrevistou ex-engenheiros do Facebook. De acordo com uma fonte citada pelo site, entre 200 milhões e 600 milhões de usuários do Facebook podem ter tido suas senhas salvas em texto plano e disponível para busca por mais de 20 mil funcionários da rede social.
Como as empresas armazenam senhas?
Geralmente, as senhas de um serviço são salvas de maneira segura utilizando um processo de "embaralhamento" criptográfico chamado de hashing. Desse jeito, as senhas são guardadas em uma forma que não pode ser lida por humanos.
Tecnicamente, hashs são uma função matemática de via única: é muito fácil de executar, mas difícil de fazer o caminho reverso. Existem diferentes tipos de hashing, alguns mais antiquados e frágeis, outros mais robustos e seguros.
Com esse tipo de segurança, mesmo que um conjunto de senhas vaze, não seria possível entendê-las e um computador teria muita dificuldade de quebrar a criptografia — em termos de capacidade de processamento — e entender as senhas.
Na nota enviada sobre a falha de segurança, o Facebook afirmou que criptografa as senhas usando uma função chamada “scrypt”, juntamente com uma chave criptografada que nos permite substituir a senha real por um conjunto de caracteres escolhidos aleatoriamente. "Com essa técnica, conseguimos validar que uma pessoa está fazendo login com a senha correta sem precisar armazenar a senha com texto simples", disse Canahuati, executivo da rede social.
G1