Facebook deixa escapar passwords de “centenas de milhões” de pessoas, mas desvaloriza assunto

Milhares de funcionários do Facebook tiveram acesso às palavras-passe de “centenas de milhões de utilizadores do Facebook Lite, dezenas de milhões de outros utilizadores do Facebook e dezenas de milhares de utilizadores do Instagram”.

“Keeping Passwords Secure” é o título da nota de imprensa em que o Facebook revela que não conseguiu guardar em segurança as passwords de “centenas de milhões de utilizadores do Facebook Lite, dezenas de milhões de outros utilizadores do Facebook e dezenas de milhares de utilizadores do Instagram”. A desvalorização do sucedido pela equipa de PR da empresa de Mark Zuckerberg adensa-se além do título do comunicado: aparentemente, para o Facebook ‘centenas de milhões de utilizadores’ são apenas ‘alguns utilizadores’.

O que aconteceu?

De acordo com o site KrebsOnSecurity, que avançou a notícia, “centenas de milhões” de utilizadores de Facebook tiveram as palavras-passe das suas contas guardadas em texto simples e acessíveis a “milhares de funcionários do Facebook” – alguns casos remontam a 2012, apurou o mesmo site junto de um funcionário sénior da empresa, em condição de anonimato por não estar autorizado a falar do assunto com jornalistas.

Olhando para números, a fonte do KrebsOnSecurity disse terem sido comprometidas passwords de 200-600 milhões de utilizadores do Facebook, que, por estarem acessíveis sem protecção (hash) através dos servidores internos da empresa, podiam ser lidas por “mais de 20 mil funcionários do Facebook”. “A fonte disse que o Facebook ainda está a determinar exactamente quantas senhas foram expostas e por quanto tempo”, escreve o KrebsOnSecurity.

A resposta do Facebook

Pouco tempo depois da publicação do artigo do KrebsOnSecurity, o Facebook surge com um comunicado de imprensa, assinado pelo seu vice-presidente de Engenharia, Segurança e Privacidade, Pedro Canahuati, e que começa assim: “Como parte da nossa análise rotineira de segurança de Janeiro, descobrimos que as passwords de alguns utilizadores estavam a ser guardadas num formato legível nos nossos sistemas internos de armazenamento de dados.”

No parágrafo seguinte, percebe-se que “alguns utilizadores” significam, afinal, “centenas de milhões de utilizadores do Facebook Lite, dezenas de milhões de outros utilizadores do Facebook e dezenas de milhares de utilizadores do Instagram”. A empresa não quantifica os afectados mas diz que irá alertá-los a todos; de acordo com o Facebook também, as passwords não estiveram disponíveis fora do Facebook e “não encontrámos qualquer evidência até à data que alguém internamente abusou ou acedeu impropriamente a elas”.

“No decorrer de nossa análise, olhámos para as formas como armazenamos outras categorias de informações, como tokens de acesso, e corrigimos problemas conforme os descobrimos. Não há nada mais importante para nós do que proteger as informações das pessoas e continuaremos a fazer melhorias como parte de nossos esforços contínuos de segurança no Facebook”, prossegue o comunicado. A nota de imprensa do Facebook termina com uma explicação genérica: como é que as passwords dos utilizadores são guardadas e algumas dicas para mantermos a nossa conta segura.

Mais um escândalo

Apesar de o armazenamento de passwords em texto simples ter sido um problema detectado noutras plataformas, como o GitHub ou o Twitter, no caso do Facebook o sucedido tem uma dimensão maior, não só por ter uma base de utilizadores largamente superior, mas também porque acontece depois de um 2018 negro para o Facebook, que, entre múltiplos episódios, contou com uma grave falha de segurança que comprometeu dados de 30 milhões de contas.