Соцсети Albert Khabibrakhimov
13 934

Facebook призналась в хранении паролей «сотен миллионов» пользователей в незашифрованном виде

Из-за внутренней ошибки сотрудники могли просматривать пароли в виде текста.

В закладки
Аудио

Facebook годами хранила пароли «сотен миллионов» своих пользователей в незашифрованном виде, доступном сотрудникам соцсети в виде текста. Об этом рассказал журналист Брайан Кребс, специализирующийся на кибербезопасности. Facebook подтвердила эту информацию в своём блоге.

В ходе проверки безопасности в январе мы обнаружили, что пароли некоторых пользователей хранятся в текстовом формате в наших внутренних системах хранения данных. Хотя наши системы авторизации должны маскировать пароли, используя методы, которые делают их нечитаемыми.

Мы исправили эту проблему, а в качестве мер предосторожности предупредим всех, чьи пароли мы нашли в открытом виде.

Педро Канахуати
вице-президент по разработке и безопасности Facebook

Источник в Facebook рассказал Кребсу, что инцидент затронул от 200 млн до 600 млн пользователей. По словам собеседника журналиста, в ходе расследования компания обнаружила архивы с незашифрованными паролями начиная с 2012 года. Доступ к ним был примерно у 20 тысяч сотрудников соцсети.

Вице-президент Facebook подчеркнул, что компания не нашла признаков использования паролей за пределами соцсети и следов несанкционированного доступа к учётным записям пользователей.

По оценке Facebook, уведомления о незащищённом хранении паролей получат «сотни миллионов» пользователей Facebook Lite, «десятки миллионов» пользователей Facebook и «десятки тысяч» пользователей Instagram.

Пользователи, которые беспокоятся за безопасность своей учётной записи, могут поменять пароли в Facebook и Instagram, а также включить двухфакторную аутентификацию или вход по дополнительному ключу безопасности.

#новость #facebook #утечкиданных

{ "author_name": "Albert Khabibrakhimov", "author_type": "editor", "tags": ["\u0443\u0442\u0435\u0447\u043a\u0438\u0434\u0430\u043d\u043d\u044b\u0445","\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","facebook"], "comments": 68, "likes": 51, "favorites": 21, "is_advertisement": false, "subsite_label": "social", "id": 62043, "is_wide": false, "is_ugc": false, "date": "Thu, 21 Mar 2019 19:19:27 +0300" }
Акции банка «Тинькофф»
19,20$
0,04$
{ "id": 62043, "author_id": 53259, "diff_limit": 1000, "urls": {"diff":"\/comments\/62043\/get","add":"\/comments\/62043\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/62043"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199129, "last_count_and_date": null }

68 комментариев 68 комм.

Популярные

По порядку

Написать комментарий...
99

0 дней без новостей об обосравшемся Facebook

Ответить
19

Такое ощущение что их кто-то жестко валит, чтобы потом все акции по дешману скупить.

Ответить
45

Это козни MySpace

Ответить
10

Или Mail.ru Group, чтобы потом купить и сделать филиалом одноклассников 🙂

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
5

Их валит собственное распиздяйство, которое свойственном большинству стартапов. Компании забивают на решение проблем в угоду гипер роста, а потом в один прекрасный момент всё идет под откос.

Ответить
3

Яндекс Аура, всем же понятно что от туда ушки торчат

Ответить
1

дерьмократы злые на Цукерберга, за то что через Фейсбук русские воздействовали на избирательную компанию и выбрали Трампа

Ответить
1

возможно, даже внутри компании есть целый отдел специально обученых людей))

Ответить
0

А акции это не особо повлияло.

Ответить
14

Так чем в мордокниге занимаются все те 10000 программистов с зарплатами 200к$?

Ответить
29

как бы не задеть чувства небинарных людей

Ответить
19

Решают олимпиадные задачки

Ответить
1

Откуда вы взяли 200к? Там нормально платят!

Ответить
0

Откуда информация по зарплатам?

Ответить
18

от 200 до 600 млн. пользователей

некоторые

Охуеть

Ответить
9

Короче очередное доказательство того, что не боги горшки лепили. Везде все работает одинаково и везде одни и те же люди.

И да, напоминание о том, что нельзя верить в сказки про то, что "ваши данные обезличены", "сотрудники не имеют доступа", "данные зашифрованы" и прочую ложь.

Ответить
4

«Удаленные фото мы удаляем»

Ответить
3

На удаленные фото мы дрочим

Ответить
0

Хорошо, но потом удалить

Ответить
1

Ну, как сказать, я сейчас работаю над сервисом, в которой сотрудники на самом деле не имеют доступа, данные зашифрованы и до сервера доходят в уже зашифрованном виде, так что то, что на уровне мегакорпораций творится бардак еще совсем не значит, что так везде

Ответить
2

"данные зашифрованы и до сервера доходят в уже зашифрованном виде"

... и уже только потом с сервака отдаются кому попало из базы по открытому дефолтному порту.

Ответить
0

И что, гипотетически предположим, что эти данные действительно попадают кому попало, что дальше? Что этот "кто попало" может с ними сделать? Ничего, без знания мастер ключа даже компьютеры NASA будут подбирать пароль сотни лет

Ответить
1

У вас пароль для расшифровки пароля чтоли? Если вы банально хешируете пасс и передаете его, то грош цена такому методу. Все фигня кроме трехфакторной авторизации.

Ответить
0

Банально хешировать это про фейсбук, есть AES-256, есть RSA, правильно скомбинировав их получается безопасное хранилище данных, которое вскрывается только мастер-ключом

Ответить
0

У вас мастер ключ на клиенте храниться? Это предположение исходя из "данные зашифрованы и до сервера доходят в уже зашифрованном виде".

Ответить
0

Верно. То, что клиент может быть точно так же скомпрометирован это и так понятно, 100% безопасности никто не даст, но можно гарантировать хотя бы то, что если вы сами свой девайс не подвергнете опасности, с нашей стороны до ваших паролей никто не доберется даже если очень захочет

Ответить
0

Ну это какое то перекладывание ответственности. Почему не трехфакторка?

Ответить
0

И трехфакторка тоже есть. Просто трёхфакторка это звено, а сколько бы ты аутентификаторов, usb-токенов и отпечатков пальцев не поставил на вход, если кто-то кроме тебя может расшифровать данные - грош цена такой защите. Больше скажу, мастер ключ даже на клиенте не хранится, мастер-ключом расшифровываются зашифрованные данные в локальном хранилище и всё, он даже не хранится нигде

Ответить
0

А что за проект то хоть? Может там как в анекдоте про "неуловимого Джо" :)

Ответить
1

Пока не могу сказать, не то, чтобы это сильно конфиденциально, интерфейс прототипа доведем до ума, тогда можно будет показывать людям :)

Ответить
0

Ок. Конуепция понятна. Я сразу не понял что речь идет о мобильной аппке а не о браузерном решении.

Ответить
0

хоть и безобидная любопытство, пахнет соц. инженерией) почти всю инфу вытянул, кроме самого проекта ;)

Ответить
0

Да бох с вами. Уже вытянул :)

Шутка. Проф интерес

Ответить
0

Эту инфу, которую он "вытянул", мы на одном из лендингов пишем (для тех, кто хочет в деталях узнать почему мы не может узнать их пароли) :D

Ответить
0

| мастер ключ даже на клиенте не хранится, мастер-ключом расшифровываются зашифрованные данные в локальном хранилище

Понятно. Пользователь слабым паролем "пароль" шифрует мастер-ключ, которым шифруются данные в локальном хранилище, и передаёт "запароленный" ключ вам.

Хорошо, что вы не храните у себя и пользовательские данные.

| предположим, что эти данные действительно попадают кому попало, что дальше?

Дальше тот, кому попало, берёт словарь и расшифровывает стыренный из открытой базы мастер-ключ. Теперь товарищ "из органов" спокойно расшифровывает им локальную базу, вытащенную с телефона "подозреваемого". Не защитили вы человечка получается, разве только себя.

Вы, конечно, можете возразить, что пароль надо иметь длинный. Но зачем тогда вся эта "мутотень" из цепочки перекодирования, пусть человек сразу помнит мастер-ключ.

PS. Даже, если человек не использует пароль, а вы сами шифруете мастер-ключ для хранения его на сервере, то доступ к устройству нивелирует это. Это даже хуже слабого пароля. Получается "грош цена такой защите". При том, что если все эти удобства выкинуть, то расшифровать данные кроме вас ни у кого не получится.

Ответить
0

Понятно. Пользователь слабым паролем "пароль" шифрует мастер-ключ, которым шифруются данные в локальном хранилище, и передаёт "запароленный" ключ вам.

Не так. Есть массив данных и есть мастер ключ, которым нужно зашифровать этот массив.

Сначала генерируются (без привязки к мастер паролю) два ключа - приватный и публичный. Приватный расшифровывает данные, публичным - шифруем.

Нужный объем данных шифруется публичным ключом, дальше приватный ключ нужно безопасно передать на сервер для проверки доступа, для этого он (приватный ключ) всё там же на клиенте шифруется хешированной версией мастер ключа и передается на сервер.

Поэтому просто взять алфавит и перебрать не получится, 256 битный хеш мастер ключа будет перебираться сотни лет. Чтобы получить доступ к паролю нужно получить доступ непосредственно к устройству, на котором уже введен мастер-пароль

Ответить
0

Выше же в PS я сразу описал эту схему "улучшенной защиты".

Ответить
0

Так доступ к устройству вообще любую защиту нивелирует. И это
"о расшифровать данные кроме вас ни у кого не получится" тоже неправда.
Даже у нас расшифровать не получится, потому что ключ для шифрованного мастер пароля мы не знаем

Если так рассуждать, то чтобы тебя не взломали - всё в памяти нужно хранить, в нее проникать пока не научились)

Ответить
0

| Так доступ к устройству вообще любую защиту нивелирует.

Нет. Если на устройстве нет ничего кроме зашифрованного контейнера, то ничего вы с ним не сделаете.

Ответить
0

Так и есть. На сервере хранится копия этого контейнера на случай, если пользователь захочет зайти с нового устройства, вся остальная магия происходит на устройстве.

Я думал речь идёт о кейлоггерах всяких и прочем параллельном доступе :)

Ответить
1

Вот именно поэтому ваш сервис ждёт провал))

Ответить
0

Надеюсь, что нет :)

Ответить
0

А потом ушлый ПМ придумают мега фичу которая пустит вашу мега безопасность по пиз@#. Наверняка существует тикет из-за которого все и началось.

Ответить
0

Так все компании говорят ровно то же самое )
Причем даже если сегодня это так, это не значит, что завтра будет так же.
Пользователь все равно не знает, что там происходит.
И владелец тоже может не знать.

Ответить
0

Всё, что передает клиент (браузер, мобильное приложение и тд) спокойно инспектится и любой баг-хантер или разоблачитель может написать статейку что заявлено одно, а на сервак передается куча всего другое

Ответить
2

Сказал как боженька.

Ответить
10

Никогда такого не было, и вот опять.

Ответить
4

«Вице-президент Facebook подчеркнул, что компания не нашла признаков использования паролей за пределами соцсети»

То есть с рабочих компов позаходили в странички пользователей, а за пределами офиса не логинились?

Ответить
1

Через VPN до офиса

Ответить
3

Кокс, Кребс, дальше будет Фекс , полагаю?

Ответить
2

А Кребс поведал плебсу.

Ответить
–7

А что? Хороший бизнес :)
На старте бизнеса особенно нужны деньги. Вдруг фейсбук не взлетел-бы, тогда хоть какую-то отбивку денег можно было-бы произвести продав пароли и логины

Ответить
9

Когда вы говорите, такое ощущение, что вы бредите

Ответить
2

я смотрю, у бобра компания была

Ответить
2

Почему в комментах еще нет упоминания истории с заказом кребсу наркоты на дом?

Ответить
3

После чего разговор должен будет плавно вывернуть на Red-eye и Гусева )

Ответить
1

тикай с района, макс, тоби пизда

Ответить
1

И этих идиотов приводят в пример...

Ответить
0

«Нам можно доверять», говорили они.

Ответить
7

Не, на самом деле они говорили сначала так:
Zuck: I don't know why.
Zuck: They "trust me"
Zuck: Dumb fucks

Ответить
2

кембриджское хранение так сказатб

Ответить
1

Одноклассники для запада

Ответить
1

ждем новость "Facebook оштрафовали за очередное нарушение GDPR"

Ответить
0

Имя мне у него нравится
А что пароли у них незашифрованы, так это и не удивляет

Ответить
0

Суть не в том, чтобы просто ходить с этих паролей! Суть в создании словаря для атаки, и не факт, что только спецслужбы их пользовали. Хороший словарь - доступ ко всем учётам других сервисов

Ответить
0

> [..] пароли некоторых пользователей [..]

> [..] инцидент затронул от 200 млн до 600 млн пользователей [..]

Ясно, понятно.

Ответить
0
{ "page_type": "article" }

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Приложение-плацебо скачали
больше миллиона раз
Подписаться на push-уведомления
{ "page_type": "default" }