{"id":7016,"title":"\u0423\u0433\u0430\u0434\u0430\u0439\u0442\u0435 \u0433\u043e\u0440\u043e\u0434\u0430 \u043f\u043e \u0437\u0432\u0443\u043a\u0443 \u043e\u0442\u043a\u0440\u044b\u0432\u0430\u044e\u0449\u0435\u0433\u043e\u0441\u044f \u043f\u0438\u0432\u0430 \u0438 \u043f\u0435\u043d\u0438\u044e \u043a\u0438\u0442\u043e\u0432","url":"\/redirect?component=advertising&id=7016&url=https:\/\/vc.ru\/special\/sound&placeBit=1&hash=6ca24c77fedb0a01bd41595a6fbd498b5375a294c2e3b54a129aa318671b77a3","isPaidAndBannersEnabled":false}

Facebook призналась в хранении паролей «сотен миллионов» пользователей в незашифрованном виде Статьи редакции

Из-за внутренней ошибки сотрудники могли просматривать пароли в виде текста.

Facebook годами хранила пароли «сотен миллионов» своих пользователей в незашифрованном виде, доступном сотрудникам соцсети в виде текста. Об этом рассказал журналист Брайан Кребс, специализирующийся на кибербезопасности. Facebook подтвердила эту информацию в своём блоге.

В ходе проверки безопасности в январе мы обнаружили, что пароли некоторых пользователей хранятся в текстовом формате в наших внутренних системах хранения данных. Хотя наши системы авторизации должны маскировать пароли, используя методы, которые делают их нечитаемыми.

Мы исправили эту проблему, а в качестве мер предосторожности предупредим всех, чьи пароли мы нашли в открытом виде.

Педро Канахуати
вице-президент по разработке и безопасности Facebook

Источник в Facebook рассказал Кребсу, что инцидент затронул от 200 млн до 600 млн пользователей. По словам собеседника журналиста, в ходе расследования компания обнаружила архивы с незашифрованными паролями начиная с 2012 года. Доступ к ним был примерно у 20 тысяч сотрудников соцсети.

Вице-президент Facebook подчеркнул, что компания не нашла признаков использования паролей за пределами соцсети и следов несанкционированного доступа к учётным записям пользователей.

По оценке Facebook, уведомления о незащищённом хранении паролей получат «сотни миллионов» пользователей Facebook Lite, «десятки миллионов» пользователей Facebook и «десятки тысяч» пользователей Instagram.

Пользователи, которые беспокоятся за безопасность своей учётной записи, могут поменять пароли в Facebook и Instagram, а также включить двухфакторную аутентификацию или вход по дополнительному ключу безопасности.

{ "author_name": "Альберт Хабибрахимов", "author_type": "self", "tags": ["\u0443\u0442\u0435\u0447\u043a\u0438\u0434\u0430\u043d\u043d\u044b\u0445","\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","facebook"], "comments": 67, "likes": 51, "favorites": 20, "is_advertisement": false, "subsite_label": "social", "id": 62043, "is_wide": true, "is_ugc": true, "date": "Thu, 21 Mar 2019 19:19:27 +0300", "is_special": false }
0
67 комментариев
Популярные
По порядку
Написать комментарий...

0 дней без новостей об обосравшемся Facebook

100

Такое ощущение что их кто-то жестко валит, чтобы потом все акции по дешману скупить.

19

Это козни MySpace

46

Или Mail.ru Group, чтобы потом купить и сделать филиалом одноклассников 🙂

10

Комментарий удален по просьбе пользователя

0

Blast from the Past

5

Их валит собственное распиздяйство, которое свойственном большинству стартапов. Компании забивают на решение проблем в угоду гипер роста, а потом в один прекрасный момент всё идет под откос.

5

Яндекс Аура, всем же понятно что от туда ушки торчат

3

дерьмократы злые на Цукерберга, за то что через Фейсбук русские воздействовали на избирательную компанию и выбрали Трампа

1

возможно, даже внутри компании есть целый отдел специально обученых людей))

1

Комментарий удален

Так чем в мордокниге занимаются все те 10000 программистов с зарплатами 200к$?

14

как бы не задеть чувства небинарных людей

29

Решают олимпиадные задачки

19

Откуда вы взяли 200к? Там нормально платят!

1

Комментарий удален

от 200 до 600 млн. пользователей

некоторые

Охуеть

18

Короче очередное доказательство того, что не боги горшки лепили. Везде все работает одинаково и везде одни и те же люди.

И да, напоминание о том, что нельзя верить в сказки про то, что "ваши данные обезличены", "сотрудники не имеют доступа", "данные зашифрованы" и прочую ложь.

9

«Удаленные фото мы удаляем»

4

На удаленные фото мы дрочим

3

Хорошо, но потом удалить

0

Ну, как сказать, я сейчас работаю над сервисом, в которой сотрудники на самом деле не имеют доступа, данные зашифрованы и до сервера доходят в уже зашифрованном виде, так что то, что на уровне мегакорпораций творится бардак еще совсем не значит, что так везде

1

"данные зашифрованы и до сервера доходят в уже зашифрованном виде"

... и уже только потом с сервака отдаются кому попало из базы по открытому дефолтному порту.

2

И что, гипотетически предположим, что эти данные действительно попадают кому попало, что дальше? Что этот "кто попало" может с ними сделать? Ничего, без знания мастер ключа даже компьютеры NASA будут подбирать пароль сотни лет

0

У вас пароль для расшифровки пароля чтоли? Если вы банально хешируете пасс и передаете его, то грош цена такому методу. Все фигня кроме трехфакторной авторизации.

1

Банально хешировать это про фейсбук, есть AES-256, есть RSA, правильно скомбинировав их получается безопасное хранилище данных, которое вскрывается только мастер-ключом

0

У вас мастер ключ на клиенте храниться? Это предположение исходя из "данные зашифрованы и до сервера доходят в уже зашифрованном виде".

0

Верно. То, что клиент может быть точно так же скомпрометирован это и так понятно, 100% безопасности никто не даст, но можно гарантировать хотя бы то, что если вы сами свой девайс не подвергнете опасности, с нашей стороны до ваших паролей никто не доберется даже если очень захочет

0

Ну это какое то перекладывание ответственности. Почему не трехфакторка?

0

И трехфакторка тоже есть. Просто трёхфакторка это звено, а сколько бы ты аутентификаторов, usb-токенов и отпечатков пальцев не поставил на вход, если кто-то кроме тебя может расшифровать данные - грош цена такой защите. Больше скажу, мастер ключ даже на клиенте не хранится, мастер-ключом расшифровываются зашифрованные данные в локальном хранилище и всё, он даже не хранится нигде

0

А что за проект то хоть? Может там как в анекдоте про "неуловимого Джо" :)

0

Пока не могу сказать, не то, чтобы это сильно конфиденциально, интерфейс прототипа доведем до ума, тогда можно будет показывать людям :)

1

Ок. Конуепция понятна. Я сразу не понял что речь идет о мобильной аппке а не о браузерном решении.

0

хоть и безобидная любопытство, пахнет соц. инженерией) почти всю инфу вытянул, кроме самого проекта ;)

0

Да бох с вами. Уже вытянул :)

Шутка. Проф интерес

0

Эту инфу, которую он "вытянул", мы на одном из лендингов пишем (для тех, кто хочет в деталях узнать почему мы не может узнать их пароли) :D

0

| мастер ключ даже на клиенте не хранится, мастер-ключом расшифровываются зашифрованные данные в локальном хранилище

Понятно. Пользователь слабым паролем "пароль" шифрует мастер-ключ, которым шифруются данные в локальном хранилище, и передаёт "запароленный" ключ вам.

Хорошо, что вы не храните у себя и пользовательские данные.

| предположим, что эти данные действительно попадают кому попало, что дальше?

Дальше тот, кому попало, берёт словарь и расшифровывает стыренный из открытой базы мастер-ключ. Теперь товарищ "из органов" спокойно расшифровывает им локальную базу, вытащенную с телефона "подозреваемого". Не защитили вы человечка получается, разве только себя.

Вы, конечно, можете возразить, что пароль надо иметь длинный. Но зачем тогда вся эта "мутотень" из цепочки перекодирования, пусть человек сразу помнит мастер-ключ.

PS. Даже, если человек не использует пароль, а вы сами шифруете мастер-ключ для хранения его на сервере, то доступ к устройству нивелирует это. Это даже хуже слабого пароля. Получается "грош цена такой защите". При том, что если все эти удобства выкинуть, то расшифровать данные кроме вас ни у кого не получится.

0

Понятно. Пользователь слабым паролем "пароль" шифрует мастер-ключ, которым шифруются данные в локальном хранилище, и передаёт "запароленный" ключ вам.

Не так. Есть массив данных и есть мастер ключ, которым нужно зашифровать этот массив.

Сначала генерируются (без привязки к мастер паролю) два ключа - приватный и публичный. Приватный расшифровывает данные, публичным - шифруем.

Нужный объем данных шифруется публичным ключом, дальше приватный ключ нужно безопасно передать на сервер для проверки доступа, для этого он (приватный ключ) всё там же на клиенте шифруется хешированной версией мастер ключа и передается на сервер.

Поэтому просто взять алфавит и перебрать не получится, 256 битный хеш мастер ключа будет перебираться сотни лет. Чтобы получить доступ к паролю нужно получить доступ непосредственно к устройству, на котором уже введен мастер-пароль

0

Выше же в PS я сразу описал эту схему "улучшенной защиты".

0

Так доступ к устройству вообще любую защиту нивелирует. И это
"о расшифровать данные кроме вас ни у кого не получится" тоже неправда.
Даже у нас расшифровать не получится, потому что ключ для шифрованного мастер пароля мы не знаем

Если так рассуждать, то чтобы тебя не взломали - всё в памяти нужно хранить, в нее проникать пока не научились)

0

| Так доступ к устройству вообще любую защиту нивелирует.

Нет. Если на устройстве нет ничего кроме зашифрованного контейнера, то ничего вы с ним не сделаете.

0

Так и есть. На сервере хранится копия этого контейнера на случай, если пользователь захочет зайти с нового устройства, вся остальная магия происходит на устройстве.

Я думал речь идёт о кейлоггерах всяких и прочем параллельном доступе :)

0

Вот именно поэтому ваш сервис ждёт провал))

1

Надеюсь, что нет :)

0

А потом ушлый ПМ придумают мега фичу которая пустит вашу мега безопасность по пиз@#. Наверняка существует тикет из-за которого все и началось.

0

Так все компании говорят ровно то же самое )
Причем даже если сегодня это так, это не значит, что завтра будет так же.
Пользователь все равно не знает, что там происходит.
И владелец тоже может не знать.

0

Всё, что передает клиент (браузер, мобильное приложение и тд) спокойно инспектится и любой баг-хантер или разоблачитель может написать статейку что заявлено одно, а на сервак передается куча всего другое

0

Сказал как боженька.

2

Никогда такого не было, и вот опять.

10

«Вице-президент Facebook подчеркнул, что компания не нашла признаков использования паролей за пределами соцсети»

То есть с рабочих компов позаходили в странички пользователей, а за пределами офиса не логинились?

4

Через VPN до офиса

1

Кокс, Кребс, дальше будет Фекс , полагаю?

3

А Кребс поведал плебсу.

2

А что? Хороший бизнес :)
На старте бизнеса особенно нужны деньги. Вдруг фейсбук не взлетел-бы, тогда хоть какую-то отбивку денег можно было-бы произвести продав пароли и логины

–7

Когда вы говорите, такое ощущение, что вы бредите

8

У нас совсем народ без юмора, сразу заминусовали. Ведь с иронией написано было, а вы в серьёз все повоспринимали :-/

0

я смотрю, у бобра компания была

2

Почему в комментах еще нет упоминания истории с заказом кребсу наркоты на дом?

2

После чего разговор должен будет плавно вывернуть на Red-eye и Гусева )

3

Комментарий удален по просьбе пользователя

1

И этих идиотов приводят в пример...

1

«Нам можно доверять», говорили они.

0

Не, на самом деле они говорили сначала так:
Zuck: I don't know why.
Zuck: They "trust me"
Zuck: Dumb fucks

7

Комментарий удален по просьбе пользователя

2

Одноклассники для запада

1

ждем новость "Facebook оштрафовали за очередное нарушение GDPR"

1

Имя мне у него нравится
А что пароли у них незашифрованы, так это и не удивляет

0

Суть не в том, чтобы просто ходить с этих паролей! Суть в создании словаря для атаки, и не факт, что только спецслужбы их пользовали. Хороший словарь - доступ ко всем учётам других сервисов

0
Домашний Никита

> [..] пароли некоторых пользователей [..]

> [..] инцидент затронул от 200 млн до 600 млн пользователей [..]

Ясно, понятно.

0
Читать все 67 комментариев
Бизнес-филантропия и благотворительность. Почему это не затраты, а вложения? Рассказываем на примере CloudPayments

Социальная ответственность составляет важную часть ДНК компании CloudPayments. Делимся инсайтами, почему мы поддерживаем НКО, создаем благотворительные проекты и как транслируем принципы филантропии внутри команды.

#20вопросов Ивану Юнину, директору проекта "Транспортные инновации Москвы"

Транспортная отрасль сегодня претерпевает колоссальные изменения, во многом благодаря инновациям. Стартапы с технологиями на базе AI для транспортной сферы востребованы как никогда. Согласно отчету Deloitte "Transporattion Trends 2020" глобальный рынок AI для транспортной отрасли к 2023 году может достигнуть 3,5 млрд долларов США.

«Модульбанк» запустил льготные кредиты для продавцов на маркетплейсах

Предприниматели могут получить до 10 млн рублей.

Dylan Gillis
Исследование: сотрудники хотели бы иметь комнату отдыха, бесплатный сок, а работодатели уже готовы покупать ЗОЖ-снеки

Онлайн-сервис доставки продуктов и товаров СберМаркет и исследовательское агентство Research Me спросили сотрудников, как они хотели бы питаться в офисе и что в нем видеть. В опросе приняли участие более 1500 работающих людей по всей России. Сервис также спросил работодателей – В2В-клиентов СберМаркета: что они покупают в офис, что точно никогда…

«Опора России» предложила штрафовать маркетплейсы за дискриминацию товаров и продавцов Статьи редакции

В организации считают, что площадки диктуют правила ценообразования и необоснованно дают приоритет некоторым продавцам.

Кейс: как мы за 45 дней заработали 1,5 млн. рублей для центра медицинского онлайн-образования

Ниша обучения в интернете позволяет находить клиентов буквально в любой части мира. Поэтому поиск целевой аудитории в социальных сетях — наиболее оптимальное решение для масштабирования подобного бизнеса. В статье мы раскроем секреты продвижения профильного образования, а также расскажем, как для клиента добиться продаж на 1,5 млн. рублей всего…

Google снизит с 30% до 15% комиссию за доходы разработчиков приложений от платных подписок Статьи редакции

Новые правила начнут действовать с января 2022 года.

Акции Facebook, Twitter и других зарабатывающих на интернет-рекламе компаний упали на 2-6% после отчётности Snap Статьи редакции

Snap отчиталась о выручке ниже прогнозов аналитиков из-за изменения условий конфиденциальности в iOS 15.

НДФЛ, льготы и поправки. Что нового в бухгалтерии и налогах в 2021 году

Как в бухгалтерском, так и в налоговом законодательстве в этом году появились новые правила. На примере IT-отрасли рассмотрим налоговые льготы и другие ключевые изменения, которые нужно знать специалистам (физическим лицам) и работодателям – предпринимателям или юридическим лицам.

«Яндекс.Маркет»: в моем заказе вместо наушников оказалась бутылка водки

Я давно хотела беспроводные наушники и наконец заказала себе Apple AirPods. Оформила заказ 15.10.2021 через Яндекс.Маркет в магазине Superbia.ru

Цифровая трансформация банков: что это такое?
Автор: Ксения Борбачева
заместитель генерального лиректора Агентства инноваций Москвы
null