Facebook призналась в хранении паролей «сотен миллионов» пользователей в незашифрованном виде Статьи редакции
Из-за внутренней ошибки сотрудники могли просматривать пароли в виде текста.
Facebook годами хранила пароли «сотен миллионов» своих пользователей в незашифрованном виде, доступном сотрудникам соцсети в виде текста. Об этом рассказал журналист Брайан Кребс, специализирующийся на кибербезопасности. Facebook подтвердила эту информацию в своём блоге.
В ходе проверки безопасности в январе мы обнаружили, что пароли некоторых пользователей хранятся в текстовом формате в наших внутренних системах хранения данных. Хотя наши системы авторизации должны маскировать пароли, используя методы, которые делают их нечитаемыми.
Мы исправили эту проблему, а в качестве мер предосторожности предупредим всех, чьи пароли мы нашли в открытом виде.
Источник в Facebook рассказал Кребсу, что инцидент затронул от 200 млн до 600 млн пользователей. По словам собеседника журналиста, в ходе расследования компания обнаружила архивы с незашифрованными паролями начиная с 2012 года. Доступ к ним был примерно у 20 тысяч сотрудников соцсети.
Вице-президент Facebook подчеркнул, что компания не нашла признаков использования паролей за пределами соцсети и следов несанкционированного доступа к учётным записям пользователей.
По оценке Facebook, уведомления о незащищённом хранении паролей получат «сотни миллионов» пользователей Facebook Lite, «десятки миллионов» пользователей Facebook и «десятки тысяч» пользователей Instagram.
Пользователи, которые беспокоятся за безопасность своей учётной записи, могут поменять пароли в Facebook и Instagram, а также включить двухфакторную аутентификацию или вход по дополнительному ключу безопасности.
Короче очередное доказательство того, что не боги горшки лепили. Везде все работает одинаково и везде одни и те же люди.
И да, напоминание о том, что нельзя верить в сказки про то, что "ваши данные обезличены", "сотрудники не имеют доступа", "данные зашифрованы" и прочую ложь.
Ну, как сказать, я сейчас работаю над сервисом, в которой сотрудники на самом деле не имеют доступа, данные зашифрованы и до сервера доходят в уже зашифрованном виде, так что то, что на уровне мегакорпораций творится бардак еще совсем не значит, что так везде
У вас пароль для расшифровки пароля чтоли? Если вы банально хешируете пасс и передаете его, то грош цена такому методу. Все фигня кроме трехфакторной авторизации.
Банально хешировать это про фейсбук, есть AES-256, есть RSA, правильно скомбинировав их получается безопасное хранилище данных, которое вскрывается только мастер-ключом
У вас мастер ключ на клиенте храниться? Это предположение исходя из "данные зашифрованы и до сервера доходят в уже зашифрованном виде".
Верно. То, что клиент может быть точно так же скомпрометирован это и так понятно, 100% безопасности никто не даст, но можно гарантировать хотя бы то, что если вы сами свой девайс не подвергнете опасности, с нашей стороны до ваших паролей никто не доберется даже если очень захочет
Ну это какое то перекладывание ответственности. Почему не трехфакторка?
И трехфакторка тоже есть. Просто трёхфакторка это звено, а сколько бы ты аутентификаторов, usb-токенов и отпечатков пальцев не поставил на вход, если кто-то кроме тебя может расшифровать данные - грош цена такой защите. Больше скажу, мастер ключ даже на клиенте не хранится, мастер-ключом расшифровываются зашифрованные данные в локальном хранилище и всё, он даже не хранится нигде
А что за проект то хоть? Может там как в анекдоте про "неуловимого Джо" :)
Пока не могу сказать, не то, чтобы это сильно конфиденциально, интерфейс прототипа доведем до ума, тогда можно будет показывать людям :)