Las contraseñas de millones de usuarios de Facebook quedaron a la vista de hasta 20,000 empleados de la red social, alertó el investigador de seguridad Brian Krebs. Krebs reportó fallas en la protección de datos, que permitieron que entre 200 millones y 600 millones de claves quedaran almacenadas sin encriptar, es decir, en texto legible.
Las contraseñas que quedaron expuestas podrían remontarse a 2012, dijo Krebs en su página web KrebsonSecurity. En un comunicado, Facebook dijo que ya había resuelto el «problema» por el que había guardado las claves en sus sistemas internos.
En este mensaje, Pedro Canahuati, vicepresidente de Ingeniería de Facebook, aseguró que «estas contraseñas nunca fueron visibles para nadie fuera de Facebook» y que, hasta la fecha, no han encontrado «evidencia de que alguien abusara o accediera indebidamente a ellas».
Pero en una exposición detallada, Krebs dijo que un trabajador anónimo de Facebook le había contado sobre las «fallas de seguridad» que habían permitido a los empleados de la red social crear aplicaciones que registraban y almacenaban las claves sin encriptarlas.
Sin embargo, Facebook reconoció que había descubierto el problema en enero durante una revisión de seguridad de rutina. Los resultados de la investigación del error mostraron que la mayoría de los afectados son usuarios de Facebook Lite, versión que tiende a usarse en países donde las conexiones de red son más lentas.
«Estimamos que notificaremos a cientos de millones de usuarios de Facebook Lite, a decenas de millones de otros usuarios de Facebook y a decenas de miles de usuarios de Instagram», dijo la compañía en su comunicado.
El ingeniero de sistemas de Facebook Scott Renfro le dijo a Krebs que la compañía «no está lista para hablar sobre números específicos, como la cantidad de empleados de Facebook que podrían haber accedido a los datos».
«Hasta ahora nuestra investigación no ha encontrado ningún caso en el que alguien haya buscado intencionalmente las contraseñas, ni señales de mal uso de los datos», afirmó Renfro. «Lo que encontramos es que estas contraseñas se registraron inadvertidamente, pero no hubo ningún riesgo real», añadió. Según Renfro, la compañía planea alertar a los usuarios afectados, pero que no les pediría necesariamente que cambiaran de contraseña.
Esta noticia se suma a la larga lista de cuestionamientos contra Facebook por la forma en la que maneja y protege los datos de los usuarios. En septiembre pasado, reconoció que la información de 50 millones de usuarios había quedado expuesta a causa de un ataque cibernético. A principios de 2018, reveló que los datos de millones de usuarios habían sido recopilados por la consultora Cambridge Analytica. De acuerdo con reportes de medios estadounidenses, esos datos privados fueron luego utilizados para manipular psicológicamente a los votantes en las elecciones de EE.UU. de 2016, en las que Donald Trump resultó electo presidente.