Foto: Dado Ruvic/Reuters

O Facebook confirmou nesta quinta-feira (21) uma denúncia de que a empresa salvava senhas em arquivos de texto que podiam ser lidas por funcionários. A rede social disse que uma investigação em andamento, até agora, não revelou nenhum sinal de que algum funcionário tenha abusado do acesso a esses dados.

Em nota, o Facebook disse ter percebido o problema em janeiro deste ano e que, na ocasião, tomou as medidas necessárias para resolver a questão.

A empresa também afirmou que não é necessário efetuar a troca de senhas, mas que vai notificar milhões de usuários sobre a falha. Os principais afetados foram usuários do serviço Facebook Lite, aplicativo da rede social para aparelhos antigos e conexões lentas. "Serão notificados centenas de milhões de usuários do Facebook Lite, dezenas de milhões de outros usuários do Facebook e dezenas de milhares de usuários do Instagram", disse a empresa em nota.

Pedro Canahuati, vice-presidente de Engenharia, Segurança e Privacidade da rede social afirmou que essas senhas nunca estiveram visíveis para alguém fora do Facebook e que a empresa não encontrou nenhuma evidência de abuso interno.

"Fizemos mudanças para evitar que problemas semelhantes voltem a acontecer e, como precaução, estamos notificando as pessoas cujas senhas foram armazenadas desta forma”, disse.

De acordo com Altieres Rohr, autor do blog Segurança Digital no G1, não há razão para trocar a senha do próprio Facebook, pois quem teria acesso a elas eram funcionários da própria rede social. "Não confiar neles acarretaria em uma desconfiança no próprio serviço. A mudança de senha seria importante se há alguma suspeita de que essas informações saíram do Facebook, o que não foi divulgado até o momento", disse.

Apesar disso, ele afirma que, quem estivesse usando a senha do Facebook em outros serviços, deve trocar essa senha porque há um potencial de abuso.

O caso foi trazido à tona pelo site especializado em segurança “Krabs on Security”, que entrevistou ex-engenheiros do Facebook. De acordo com uma fonte citada pelo site, entre 200 milhões e 600 milhões de usuários do Facebook podem ter tido suas senhas salvas em texto plano e disponível para busca por mais de 20 mil funcionários da rede social.

Como as empresas armazenam senhas?

Geralmente, as senhas de um serviço são salvas de maneira segura utilizando um processo de "embaralhamento" criptográfico chamado de hashing. Desse jeito, as senhas são guardadas em uma forma que não pode ser lida por humanos.

Tecnicamente, hashs são uma função matemática de via única: é muito fácil de executar, mas difícil de fazer o caminho reverso. Existem diferentes tipos de hashing, alguns mais antiquados e frágeis, outros mais robustos e seguros.

Com esse tipo de segurança, mesmo que um conjunto de senhas vaze, não seria possível entendê-las e um computador teria muita dificuldade de quebrar a criptografia — em termos de capacidade de processamento — e entender as senhas.

Na nota enviada sobre a falha de segurança, o Facebook afirmou que criptografa as senhas usando uma função chamada “scrypt”, juntamente com uma chave criptografada que nos permite substituir a senha real por um conjunto de caracteres escolhidos aleatoriamente. "Com essa técnica, conseguimos validar que uma pessoa está fazendo login com a senha correta sem precisar armazenar a senha com texto simples", disse Canahuati, executivo da rede social.

G1