Американский сервис для торговли акциями Robinhood хранил пароли пользователей в незашифрованном виде Статьи редакции
Компания уже устранила ошибку и утверждает, что ничьи данные не утекли.
Сервис для торговли акциями Robinhood хранил пароли пользователей в незашифрованном виде. Об этом пишет TechCrunch.
Robinhood разослал пользователям письмо с рекомендацией сменить пароль. В компании не раскрыли количество пользователей, чья информация могла храниться в открытом виде, но отметили, что не нашли следов несанкционированного доступа к данным.
Когда вы задаёте пароль для вашего аккаунта Robinhood, мы используем стандартную для отрасли технологию, которая скрывает его от сотрудников компании.
Однако вечером 22 июля мы обнаружили, что некоторые учётные данные хранятся в читаемом формате в наших внутренних системах. Возможно, ваш пароль попал в их число.
Мы устранили эту проблему и после тщательного анализа не нашли каких-либо доказательств того, что доступ к данным мог получить кто-то за пределами компании.
В середине июля 2019 года Robinhood провёл очередной раунд финансирования, в ходе которого привлёк $323 млн при оценке $7,6 млрд. Среди ведущих инвесторов стартапа — фонд DST Global Юрия Мильнера. Robinhood работает с 2015 года, месячная аудитория сервиса на конец 2018 года составляла 6 млн пользователей.
Пароли богатых пользователей он отдавал бедным
Робин Гуд отдавал все. Даже пароли.
Столько пиара, а как начинаешь смотреть как устроено внутри - сразу же рука_лицо. Хороший знак для всех чтобы понять насколько неквалифицированные сотрудники работают там. Пароли в открытом виде это ошибка на уровне архитектуры. Дальше копать даже смысла нет
Хороший знак для всех, чтобы понять в очередной раз, что не боги горшки лепили и везде работают одни и те же люди.
Это не новости.
Комментарий недоступен
Комментарий недоступен
Нашли брешь в безопасности, устранили, следов утечки данных нет...
Могли бы промолчать, но сделали из этого очередной инфоповод.
Так себе реклама.
Просто писаке из TC больше нечего было написать. Он получил письмо из Robinhood и решил распустить вонищу.
Не могли промолчать. Это всего-навсего следование закону.
Так никто изнутри то этого не знал.
Но, когда команда большая, в ней могут завестись крысы, поэтому видимо перестраховались.
Написано оптекаемо, но но прямо не следует, что "хранили пароли в незашифрованном виде". Пароли вполне могли и в логах быть.
А сейчас принято смягчать факапы словосочетаниями типа "некоторые пароли у некоторых пользователей".
Нам грустно от того, что вам не понравилось, что пароли некоторых пользователей хранились в открытом виде.
в оригинале еще более размыто: On Monday night, we discovered that some user credentials were stored in a readable format within our internal systems
о каких именно user credentials идет речь не понятно. Писака из TechCrunch всё вывернул так, будто речь идет о паролях. Может об адресах или личных телефонных номерах?..
Я вот просто не понимаю как такое может быть, насколько отбитым надо быть чтобы пароли хранить в открытом виде. Есть негласное правило которому следуют все нормальные разработчики: Пароли не логировать и хранить в базе только хеш паролей.
Понимаю ваше справедливое негодование, однако позвольте уточнить: какой алгоритм хеширования вы используете в своих проектах? Применяете ли соль? Соль общая на всю базу или уникальная для каждого пароля?
А что они могли написать еще? " радуйтесь мы про...ли ваш пароль,но его возможно еще никто не сп...ил"
Жила была проститутка Робингуд. У беднах брала, богатым давала.