Lo han hecho público a través de este comunicado, lanzado tras la investigación llevada a cabo por Brian Krebs, un periodista independiente especializado en ciberseguridad. «Para ser claros, estas contraseñas nunca fueron visibles para nadie fuera de Facebook y no hemos encontrado evidencia hasta la fecha de que alguien haya abusado internamente o accedido indebidamente», explica la compañía.
La red social de Mark Zuckerberg planea notificar la brecha de seguridad «a cientos de millones de usuarios de Facebook Lite, a decenas de millones de otros usuarios de Facebook y a decenas de miles de usuarios de Instagram». Facebook Lite es la versión reducida de la app destinada a móviles antiguos o que tienen poca capacidad de almacenamiento.
Krebs, que en su artículo menciona a una fuente interna de Facebook, asegura que el fallo podría afectar a entre 200 y 600 millones de usuarios. Las contraseñas estaban almacenadas en texto plano, o lo que es lo mismo, sin cifrado; disponibles en todo momento para los más de 20.000 empleados con los que cuenta la red social en todo el mundo. Algunas de esas contraseñas datan del año 2012, incluso.
La compañía explica que el fallo fue descubierto durante una revisión de seguridad en enero y que ya está arreglado. Sin embargo, no es la única gran empresa que lleva a cabo esta práctica: en mayo del año pasado, tanto GitHub como Twitter admitieron haber expuesto las contraseñas de sus usuarios al tenerlas almacenadas en texto plano.