Pedro Canahuati, VP de Engenharia, Segurança e Privacidade
Como parte de nossa checagem de segurança de rotina, em janeiro nós descobrimos que as senhas de algumas pessoas estavam armazenadas em formato legível em nossos sistema interno de armazenamento de dados. Isso chamou nossa atenção, pois nosso sistema de login é projetado para sempre mascarar as senhas, usando técnicas que as tornam ilegíveis. Nós resolvemos essa questão e, como precaução, notificaremos cada pessoa que tenha tido sua senha armazenada desta forma.
Para deixar claro, essas senhas nunca estiveram visíveis para pessoas de fora do Facebook e não encontramos nenhuma evidência de que alguém internamente violou ou acessou indevidamente essas contas. A estimativa é de que notificaremos centenas de milhões de usuários do Facebook Lite, dezenas de milhões de outros usuários do Facebook e dezenas de milhares de usuários do Instagram.
No decorrer da nossa análise, observamos as formas como armazenamos outras categorias de informações — como tokens de acesso — e solucionamos alguns problemas conforme os descobrimos. Não há nada mais importante para nós do que proteger as informações das pessoas, e continuaremos a fazer melhorias como parte de nossos esforços contínuos de segurança no Facebook.
Como protegemos as senhas das pessoas
Em linha com as melhores práticas de segurança, o Facebook mascara as senhas das pessoas quando elas criam uma conta, assim ninguém na empresa pode vê-las. Por razões de segurança, criptografamos as senhas usando uma função chamada “scrypt”, juntamente com uma chave criptografada que nos permite substituir a senha real por um conjunto de caracteres escolhidos aleatoriamente. Com essa técnica, conseguimos validar que uma pessoa está fazendo login com a senha correta sem precisar armazenar a senha com texto simples.
Como sabemos que as pessoas podem compartilhar, reutilizar ou ter suas senhas roubadas, criamos medidas de segurança para ajudar a proteger as contas das pessoas:
- Usamos uma variedade de sinais para detectar atividades suspeitas. Por exemplo, mesmo que uma senha seja inserida corretamente a partir do seu dispositivo e localização habituais, tratamos o login de forma diferente caso alguém tente acessar sua conta de um dispositivo desconhecido em outro país. Quando percebemos uma tentativa de login suspeita, fazemos uma pergunta de verificação adicional para provar que a pessoa é a verdadeira proprietária da conta.
- As pessoas também podem ativar alertas sobre sobre logins não reconhecidos.
- Sabendo que algumas pessoas reutilizam senhas em diferentes serviços, acompanhamos atentamente os anúncios sobre violações de dados de outras organizações e bancos de dados públicos de credenciais roubadas. Verificamos se as combinações de e-mail e senha roubadas correspondem às mesmas credenciais usadas no Facebook. Quando encontramos um compatível, na próxima vez que você fizer login nós iremos lhe notificar e orientaremos para que altere sua senha.
- Para diminuir a dependência em senhas, implementamos o recurso de registrar uma chave de segurança física em sua conta, para que na próxima vez que você fizer login, você apenas toque em um pequeno dispositivo de hardware que esteja na unidade USB do seu computador. Essa medida é particularmente arriscada para usuários de alto risco, incluindo jornalistas, ativistas, campanhas políticas e figuras públicas.
Protegendo sua conta
Embora nenhuma senha tenha sido exposta externamente e embora não tenhamos encontramos nenhuma evidência de mau uso até o momento, aqui estão algumas etapas que você pode seguir para manter sua conta segura:
- Você pode alterar sua senha nas suas configurações no Facebook e no Instagram. Evite reutilizar senhas em diferentes serviços.
- Escolha senhas fortes e complexas para todas as suas contas. Os aplicativos de gerenciamento de senhas podem ajudar.
- Considere ativar uma chave de segurança ou autenticação de dois fatores para proteger sua conta do Facebook usando códigos de um aplicativo de autenticação de terceiros. Quando você fizer login com sua senha, solicitaremos um código de segurança ou você pode tocar em sua chave de segurança para confirmar que é você mesmo
Para mais informações sobre como manter sua conta do Facebook segura, visite: ttps://www.facebook.com/about/security.