Открытым текстом. Почему нужно обновить свой пароль на Facebook

Фото пользователя geralt на Pixabay
Фото пользователя geralt на Pixabay

Facebook вновь доказал, что не умеет как следует обращаться с данными пользователей. На сей раз оказалось, что компания годами хранила их пароли в незашифрованном виде. Как появилась новая дыра в безопасности соцсети, и почему вам стоит обновить пароль, рассказывается в материале Wired

Уже сейчас сложно в двух словах описать все недочеты Facebook в отношении конфиденциальности, управления данными и безопасности. Но теперь этот и без того обширный список стал больше. После отчета, опубликованного в блоге Krebs on Security, компания признала ошибку, из-за которой сотни миллионов пользовательских паролей для Facebook, Facebook Lite и Instagram хранились в виде открытого текста на внутренней платформе. Это означает, что найти и ознакомиться с ними могли тысячи сотрудников социальной сети. По сообщению блогера Брайана Кребса, некоторые из этих паролей могли быть созданы еще в 2012 году.

Facebook было по силам избежать этой осечки. Ведь компании могут хранить пароли учетных записей, шифруя их при помощи хеширования перед сохранением на своих серверах. Таким образом, даже если их кто-нибудь и украдет, то прочитать все равно не сможет, а расшифровать их будет крайне трудно.

Социальная сеть с парой миллиардов пользователей – настоящий клад для хакеров, и компания знает это. Посему она инвестирует значительные средства, чтобы избежать юридических проблем и затруднений из-за вопросов безопасности. Но одного открытого окна достаточно, чтобы все замки, засовы и ловушки стали бесполезными.

Дело привычки

"В рамках обычной проверки безопасности в январе мы обнаружили, что некоторые пароли пользователей хранятся в наших внутренних системах в удобочитаемом формате, – заявил Педро Канахуати, вице-президент Facebook по проектированию, безопасности и конфиденциальности. – Наши системы авторизации спроектированы таким образом, чтобы маскировать пароли, делая их нечитаемыми. Отмечу, что они не были доступы никому за пределами Facebook, и на данный момент мы не нашли доказательств, чтобы кто-либо внутри компании злоупотреблял своими возможностями или получал к ним неправомерный доступ".

Тысячи сотрудников Facebook могли узнать пароли пользователей, хранившиеся в незашифрованном виде

По словам Канахуати, Facebook уже исправил ошибку и собирается уведомить всех пользователей, которых затрагивает данная проблема. Сами пароли компания обнулять не будет.

В данном случае, похоже, речи о взломе не идет. Но репутация компании и так была серьезно подмочена относительно недавно. Только в сентябре злоумышленники украли данные 30 миллионов пользователей, получив контроль над маркерами доступа к учетной записи, которые генерируются, когда человек заходит в систему.

Косвенно это нарушение и помогло Facebook обнаружить множество незашифрованных паролей и ошибок, которые привели к их появлению. Инцидент подтолкнул компанию к проверке безопасности, в результате которой и был выявлен нынешний промах.

Лукаш Олейник, независимый консультант по кибербезопасности и научный сотрудник Центра технологий и глобальных отношений в Оксфордском университете полагает, что подобное проявление инициативы со стороны Facebook – хороший признак. "Это важный момент. Похоже, они обнаружили эту проблему во время аудита, и, возможно, в свете их прошлых ошибок и внедрения новых правил в отношении конфиденциальности, такие проверки войдут у них в привычку".

Иголка в стоге сена

Facebook отмечает, что пароли в форме открытого текста не содержались в одном и том же месте, а сама проблема не связана с единственной ошибкой. Компания непреднамеренно собирала и держала их в разрозненных внутренних хранилищах (например, в журналах учета сбоев). Это существенно усложнило понимание масштабов проблемы, из-за чего проверка и обнародование результатов заняло у Facebook почти 2 месяца.

На самом деле причина нового прокола не выглядит из ряда вон выходящей. Такой гигант, как Facebook, должен вести учет ошибок, сбоев и других инцидентов, чтобы лучше понимать их. В процессе попасть в журналы могут самые разнообразные сопутствующие данные. В данном случае это оказались пароли. Вопрос заключается в другом: почему Facebook так долго хранил журналы с конфиденциальными данными, и как вышло, что компания даже не знала об их содержимом.

"Непреднамеренный сбор данных в процессе отладки сети такого масштаба – не такая уж редкость, – говорит Кенн Уайт, инженер по безопасности и директор проекта Open Crypto Audit Project. – Но если Facebook хранил их годами, возникает множество вопросов об их организации. Компания обязана защищать эти записи, контролировать их и понимать, какая информация в них хранится. В некотором смысле это самые важные данные, поскольку они необработанны и хаотичны".

На всякий случай

В мае прошлого года похожая история произошла с Twitter. Тогда соцсеть не просила пользователей менять пароли, утверждая, что нет оснований подозревать взлом. Facebook тоже отмечает, что расследование не выявило никаких признаков того, что кто-либо преднамеренно получил доступ к незашифрованным паролям с целью кражи. Кроме того, IT-гигант уверяет, что проблема с открытым текстом уже устранена и долгосрочных последствий у инцидента не будет.

Учитывая бесконечный поток промахов компании, трудно представить, какие еще сюрпризы она может преподнести. Так что, задуматься о смене пароля лишним не будет. Хотя бы в качестве меры предосторожности.

Пользователи десктопной версии Facebook должны для этого зайти в настройки, перейти в раздел "Безопасность и вход", а затем выбрать пункт "Сменить пароль". На устройствах iOS и Android нужно проделать следующий путь: "Настройки и конфиденциальность" → "Настройки" → "Безопасность и вход" ​​→ "Сменить пароль". Чтобы изменить пароль в Instagram нужно перейти в "Настройки" → "Конфиденциальность и безопасность" → "Пароль".

По материалам Wired