Los errores de privacidad de Facebook siguen llegando. El miércoles, la compañía de redes sociales dijo que recopiló las listas de direcciones de correo electrónico almacenadas de hasta 1,5 millones de usuarios sin permiso. El jueves, la compañía dijo que la cantidad de usuarios de Instagram afectados por un error de almacenamiento de contraseña informado anteriormente era de «millones», no de «decenas de miles» como se estimó anteriormente.
Facebook dijo que la recopilación de contactos de correo electrónico fue el resultado de una técnica de verificación altamente defectuosa que instruyó a algunos usuarios a proporcionar la contraseña de la dirección de correo electrónico asociada con su cuenta si querían continuar usando Facebook. Los expertos en seguridad criticaron casi unánimemente la práctica y Facebook la abandonó tan pronto como se informó.
En un comunicado emitido a los periodistas, Facebook escribió:
A principios de este mes, dejamos de ofrecer la verificación de contraseña de correo electrónico como una opción para las personas que verifican su cuenta cuando se registran en Facebook por primera vez. Cuando analizamos los pasos que las personas seguían para verificar sus cuentas, descubrimos que, en algunos casos, los contactos de correo electrónico de las personas también se cargaron involuntariamente en Facebook cuando crearon su cuenta. Estimamos que se pueden haber subido hasta 1,5 millones de contactos de correo electrónico de personas. Estos contactos no se compartieron con nadie y los estamos eliminando. Solucionamos el problema subyacente y estamos notificando a las personas cuyos contactos se importaron. Las personas también pueden revisar y administrar los contactos que comparten con Facebook en su configuración.
Business Insider informó por primera vez sobre la recolección de los contactos de correo electrónico. Cuando los usuarios dieron sus contraseñas a Facebook, dijo la publicación, recibieron un mensaje que declaraba que Facebook estaba importando sus contactos. La colección sucedió sin pedir permiso primero.
Si bien la declaración de Facebook se refirió al paso de verificación de correo electrónico como una «opción», el idioma que se muestra en un captura de pantalla tuiteada del mensaje (derecha) dijo a los usuarios: «Para continuar usando Facebook, deberá confirmar su dirección de correo electrónico». Muchos usuarios, al parecer, podrían ser perdonados si pensaran que proporcionar su contraseña era una condición para usar el sitio de redes sociales. Un representante de Facebook le dijo a Ars que estos usuarios también podrían haber confirmado sus cuentas con un código enviado a su teléfono o un enlace enviado a su correo electrónico si hubieran hecho clic en el botón «necesito ayuda» en la ventana emergente.
haciéndolo
Facebook ha dicho que no almacenó las contraseñas, pero en otro error de privacidad de Facebook revelado el mes pasado, la compañía confirmó que almacenó incorrectamente cientos de millones de contraseñas de usuarios en texto sin formato en lugar de hash criptográfico. Los hashes son cadenas largas de texto de aspecto aleatorio que se generan al pasar una contraseña, un mensaje o un archivo a través de un algoritmo. Debido a que los hashes no se pueden revertir criptográficamente, los expertos en seguridad dicen que son la única forma segura de almacenarlos.
A fines de marzo, Facebook dijo que el error de contraseña de texto sin formato afectó a cientos de millones de usuarios de Facebook Lite, decenas de millones de otros usuarios de Facebook y decenas de miles de usuarios de Instagram. La divulgación de Facebook se actualizó el jueves para decir que la cantidad de cuentas de Instagram afectadas era mucho mayor.
«Desde que se publicó esta publicación, descubrimos registros adicionales de contraseñas de Instagram almacenadas en un formato legible», dijo la actualización del jueves. «Ahora estimamos que este problema afectó a millones de usuarios de Instagram. Notificaremos a estos usuarios como lo hicimos con los demás. Nuestra investigación ha determinado que estas contraseñas almacenadas no fueron abusadas internamente ni accedidas de manera inapropiada».
Facebook se ha visto afectado por una serie de errores de privacidad desde enero de 2023. Fue entonces cuando una exposición del New York Times reveló que la firma política Cambridge Analytica recopiló indebidamente los datos de decenas de millones de usuarios de Facebook. Dos meses después, los informes mostraron que el sitio de redes sociales recopiló metadatos de años de llamadas y mensajes de texto que los usuarios hicieron o enviaron con teléfonos Android.
El mes pasado, el CEO Mark Zuckerberg dijo que planeaba cambiar el nombre del sitio que fundó como un servicio de privacidad.
