Blog

Alerta! Facebook expôs 600 milhões de passwords e menospreza o assunto

Alerta! Facebook expôs 600 milhões de passwords e menospreza o assunto

Mais um dia, mais uma crassa violação da nossa privacidade ou segurança dos nossos dados. Aliás, já se torna um hábito, demasiado recorrente, expôr este tipo de situações pelo que me absterei de fazer qualquer tipo de introdução. A rede social deixou escapar vários milhares de passwords do Facebook Lite, Instagram, bem como do próprio Facebook. Confrontada com o caso, a empresa desvaloriza a ocorrência.

Durante vários anos, cerca de 20 mil colaboradores do Facebook tiveram acesso a mais de 600 milhões de passwords dos utilizadores. As nossas credenciais estavam simplesmente guardadas como simples texto.

Antes de mais nada, a rede social já garantiu que iria avisar centenas de milhares de utilizadores face ao sucedido. Em causa está o registo e armazenamento das passwords (palavras-passe) num simples ficheiro de texto. Além disso, o mesmo pôde ser consultado por cerca de 20 mil colaborares durante anos a fio.

600 milhões de passwords ao dispor de 20 mil colaboradores
As credenciais foram guardadas num dos servidores da rede social num simples ficheiro de texto durante vários anos. Contudo, em janeiro passado o Facebook apercebeu-se do sucedido e, ao investigar os primeiros indícios de que algo não estava conforme as regras, descobriram esta colossal falha de segurança.

Por razões não declaradas, 600 milhões de passwords acabaram indevidamente guardadas como simples texto nos seus servidores. Relembro aqui que os sistemas do Facebook devem mascarar as passwords submetidas, com o intuito de as proteger, mesmo do staff da rede social. Algo que não se verificou no caso em apreço.

Utilizadores do Facebook Lite e Instagram foram os mais afetados

Com efeito, a rede social reconhece que vários milhares de contas do Instagram foram afetadas. O mesmo sucedendo com um considerável número de perfis na versão convencional do Facebook. Aliás, o que aqui está em causa é o armazenamento indevido das credenciais de acesso a partir das aplicações móveis.

O caso foi, entretanto, investigado pela Krebs on Security que apontou esta prática recorrente. Em alguns casos desde 2012 que as passwords estavam a ser armazenadas de forma completamente desprotegida. Ainda de acordo com o seu relatório, também o Github e o Twitter reconheceram práticas similares no passado.