Facebook хранит сотни миллионов паролей в открытом виде в течение 7 лет

Facebook хранит сотни миллионов паролей в открытом виде в течение 7 лет

Facebook признал, что хранит сотни миллионов паролей пользователей в незашифрованных файлах в течение многих лет, начиная по крайней мере с 2012 года. Цитируя моего коллегу Дэвида Кардинала: «Конечно, они сделали. Можем ли мы просто заранее написать ужасные истории о Facebook, чтобы быть готовыми, когда каждая из них станет правдой? »

Потому что действительно, на данный момент, это довольно хорошее резюме ситуации. Исследователь KrebsonSecurity Брайан Кребс рассказал историю сотруднику Facebook. Было затронуто от 200 до 600 миллионов учетных записей пользователей, и данные хранились на внутренних серверах, к которым имели доступ около 20 000 сотрудников. Сообщается, что Facebook все еще пытается определить, сколько паролей было раскрыто и кто конкретно имел к ним доступ, но этот недостаток датируется как минимум 2012 годом. Около 2000 инженеров или разработчиков сделали около 9 миллионов запросов к базе данных для элементов, содержащих открытый текст пользователя. пароли.

«Чем дольше мы углубляемся в этот анализ, тем удобнее юристам [в Facebook] идти на более низкие оценки» затронутых пользователей, сказал источник. «Сейчас они работают над тем, чтобы сократить это число еще больше, считая только то, что у нас есть в нашем хранилище данных».

С человеческой стороны животных. Это не подходящий формат для паролей. Изображение из Википедии
С человеческой стороны животных. Это не подходящий формат для паролей. Изображение из Википедии

По словам разработчика программного обеспечения Facebook Скотта Ренфро, компания не обнаружила каких-либо признаков того, что репозиторий использовался злоумышленниками неправильно или проник в него. «До сих пор мы не обнаружили случаев в наших расследованиях, когда кто-то преднамеренно искал пароли, и мы не обнаружили признаков злоупотребления этими данными», - сказал Ренфро. «В этой ситуации мы обнаружили, что эти пароли были случайно зарегистрированы, но из-за этого не было никакого реального риска. Мы хотим убедиться, что мы зарезервировали эти шаги и принудительно менять пароль только в тех случаях, когда есть определенные признаки злоупотребления ».

Тем не менее, Facebook ожидает уведомить десятки миллионов пользователей Facebook, сотни миллионов пользователей своего низкоскоростного сервиса с низким уровнем издержек Facebook Lite и десятки тысяч пользователей Instagram. Метрики воздействия предполагают, что проблема в значительной степени связана с FB Lite, хотя причина такого совпадения в настоящее время не ясна.

Это сравнение кажется несправедливым по отношению к данным. Изображение через iMore.
Это сравнение кажется несправедливым по отношению к данным. Изображение через iMore.

Facebook опубликовал статью на эту тему, но в большинстве своем он просто рассматривает существующие методы обеспечения безопасности компании и сводит к минимуму тот факт, что компания хранила важные пользовательские данные наименее безопасным способом. Тот факт, что данные, по-видимому, не использовались неправильно, - это, конечно, хорошо. Но в связи с растущими судебными процессами и федеральными расследованиями в отношении различных практик, подобные раскрытия, только еще больше подчеркивают, насколько практичны практические действия Facebook. У менталитета «двигайся быстро и ломай вещи», которого придерживался Марк Цукерберг, не было исключений для безопасности. Хранение сотен миллионов паролей в виде открытого текста в течение семи лет (если не дольше) является доказательством того, что такие подходы охватывают безопасность.

На данный момент, единственная уверенность в том, что мы будем снова говорить о Facebook через несколько дней или недель, еще раз подробно рассказывая о том, что утечка доверия, этики или долгосрочного мышления просто катастрофическая. Больше не вопрос о том, происходили ли эти вещи - только когда мы узнаем о них и какой дополнительный ущерб нанесла компания.

Читать далее

Исследователь безопасности: пароль компании solarwinds123 оставлен уязвимым в 2019 г.
Исследователь безопасности: пароль компании solarwinds123 оставлен уязвимым в 2019 г.

SolarWinds, компания, оказавшаяся в центре массового взлома правительственных учреждений и корпораций США, не совсем использует передовые методы паролей.

Microsoft теперь предлагает вариант (в основном) Ritch ваш пароль
Microsoft теперь предлагает вариант (в основном) Ritch ваш пароль

Microsoft хочет бросить пароли, и это делает функцию широко доступной в Windows впервые.

Microsoft, Apple и Google объединяют усилия, чтобы убить пароль
Microsoft, Apple и Google объединяют усилия, чтобы убить пароль

На Всемирный день пароля три крупнейших технических фирмы в мире объявили об альянсе для изгнания паролей в кучу истории.

Netflix Ads и плата за совместное использование паролей может поступить в этом году
Netflix Ads и плата за совместное использование паролей может поступить в этом году

В уведомлении, отправленном сотрудникам, Netflix Management заявила, что они стремятся подготовить уровень, поддерживаемый рекламой, готовый к регистрации к четвертому кварталу 2022 года.