{"id":8721,"title":"\u0427\u0442\u043e \u043f\u043e\u043b\u0435\u0437\u043d\u043e\u0433\u043e \u043c\u043e\u0436\u043d\u043e \u0441\u0434\u0435\u043b\u0430\u0442\u044c \u0438\u0437 \u0440\u044b\u0431\u044c\u0435\u0439 \u0447\u0435\u0448\u0443\u0438","url":"\/redirect?component=advertising&id=8721&url=https:\/\/vc.ru\/promo\/316632-odezhda-kotoraya-rastet-vmeste-s-rebenkom-biotoplivo-i-krossovki-iz-chaynogo-griba&placeBit=1&hash=3f7bfd5e764a97a666a0f91fc9e9278a2147bac49abdacebb6449b781d4d5ca0","isPaidAndBannersEnabled":false}

Facebook призналась в хранении паролей «сотен миллионов» пользователей в незашифрованном виде Статьи редакции

Из-за внутренней ошибки сотрудники могли просматривать пароли в виде текста.

Facebook годами хранила пароли «сотен миллионов» своих пользователей в незашифрованном виде, доступном сотрудникам соцсети в виде текста. Об этом рассказал журналист Брайан Кребс, специализирующийся на кибербезопасности. Facebook подтвердила эту информацию в своём блоге.

В ходе проверки безопасности в январе мы обнаружили, что пароли некоторых пользователей хранятся в текстовом формате в наших внутренних системах хранения данных. Хотя наши системы авторизации должны маскировать пароли, используя методы, которые делают их нечитаемыми.

Мы исправили эту проблему, а в качестве мер предосторожности предупредим всех, чьи пароли мы нашли в открытом виде.

Педро Канахуати
вице-президент по разработке и безопасности Facebook

Источник в Facebook рассказал Кребсу, что инцидент затронул от 200 млн до 600 млн пользователей. По словам собеседника журналиста, в ходе расследования компания обнаружила архивы с незашифрованными паролями начиная с 2012 года. Доступ к ним был примерно у 20 тысяч сотрудников соцсети.

Вице-президент Facebook подчеркнул, что компания не нашла признаков использования паролей за пределами соцсети и следов несанкционированного доступа к учётным записям пользователей.

По оценке Facebook, уведомления о незащищённом хранении паролей получат «сотни миллионов» пользователей Facebook Lite, «десятки миллионов» пользователей Facebook и «десятки тысяч» пользователей Instagram.

Пользователи, которые беспокоятся за безопасность своей учётной записи, могут поменять пароли в Facebook и Instagram, а также включить двухфакторную аутентификацию или вход по дополнительному ключу безопасности.

0
67 комментариев
Популярные
По порядку
Написать комментарий...

0 дней без новостей об обосравшемся Facebook

100

Такое ощущение что их кто-то жестко валит, чтобы потом все акции по дешману скупить.

19

Это козни MySpace

46

Или Mail.ru Group, чтобы потом купить и сделать филиалом одноклассников 🙂

10

Комментарий удален по просьбе пользователя

0

Blast from the Past

5

Их валит собственное распиздяйство, которое свойственном большинству стартапов. Компании забивают на решение проблем в угоду гипер роста, а потом в один прекрасный момент всё идет под откос.

5

Яндекс Аура, всем же понятно что от туда ушки торчат

3

дерьмократы злые на Цукерберга, за то что через Фейсбук русские воздействовали на избирательную компанию и выбрали Трампа

1

возможно, даже внутри компании есть целый отдел специально обученых людей))

1

Комментарий удален

Так чем в мордокниге занимаются все те 10000 программистов с зарплатами 200к$?

14

как бы не задеть чувства небинарных людей

29

Решают олимпиадные задачки

19

Откуда вы взяли 200к? Там нормально платят!

1

Комментарий удален

от 200 до 600 млн. пользователей

некоторые

Охуеть

18

Короче очередное доказательство того, что не боги горшки лепили. Везде все работает одинаково и везде одни и те же люди.

И да, напоминание о том, что нельзя верить в сказки про то, что "ваши данные обезличены", "сотрудники не имеют доступа", "данные зашифрованы" и прочую ложь.

9

«Удаленные фото мы удаляем»

4

На удаленные фото мы дрочим

3

Хорошо, но потом удалить

0

Ну, как сказать, я сейчас работаю над сервисом, в которой сотрудники на самом деле не имеют доступа, данные зашифрованы и до сервера доходят в уже зашифрованном виде, так что то, что на уровне мегакорпораций творится бардак еще совсем не значит, что так везде

1

"данные зашифрованы и до сервера доходят в уже зашифрованном виде"

... и уже только потом с сервака отдаются кому попало из базы по открытому дефолтному порту.

2

И что, гипотетически предположим, что эти данные действительно попадают кому попало, что дальше? Что этот "кто попало" может с ними сделать? Ничего, без знания мастер ключа даже компьютеры NASA будут подбирать пароль сотни лет

0

У вас пароль для расшифровки пароля чтоли? Если вы банально хешируете пасс и передаете его, то грош цена такому методу. Все фигня кроме трехфакторной авторизации.

1

Банально хешировать это про фейсбук, есть AES-256, есть RSA, правильно скомбинировав их получается безопасное хранилище данных, которое вскрывается только мастер-ключом

0

У вас мастер ключ на клиенте храниться? Это предположение исходя из "данные зашифрованы и до сервера доходят в уже зашифрованном виде".

0

Верно. То, что клиент может быть точно так же скомпрометирован это и так понятно, 100% безопасности никто не даст, но можно гарантировать хотя бы то, что если вы сами свой девайс не подвергнете опасности, с нашей стороны до ваших паролей никто не доберется даже если очень захочет

0

Ну это какое то перекладывание ответственности. Почему не трехфакторка?

0

И трехфакторка тоже есть. Просто трёхфакторка это звено, а сколько бы ты аутентификаторов, usb-токенов и отпечатков пальцев не поставил на вход, если кто-то кроме тебя может расшифровать данные - грош цена такой защите. Больше скажу, мастер ключ даже на клиенте не хранится, мастер-ключом расшифровываются зашифрованные данные в локальном хранилище и всё, он даже не хранится нигде

0

А что за проект то хоть? Может там как в анекдоте про "неуловимого Джо" :)

0

Пока не могу сказать, не то, чтобы это сильно конфиденциально, интерфейс прототипа доведем до ума, тогда можно будет показывать людям :)

1

Ок. Конуепция понятна. Я сразу не понял что речь идет о мобильной аппке а не о браузерном решении.

0

хоть и безобидная любопытство, пахнет соц. инженерией) почти всю инфу вытянул, кроме самого проекта ;)

0

Да бох с вами. Уже вытянул :)

Шутка. Проф интерес

0

Эту инфу, которую он "вытянул", мы на одном из лендингов пишем (для тех, кто хочет в деталях узнать почему мы не может узнать их пароли) :D

0

| мастер ключ даже на клиенте не хранится, мастер-ключом расшифровываются зашифрованные данные в локальном хранилище

Понятно. Пользователь слабым паролем "пароль" шифрует мастер-ключ, которым шифруются данные в локальном хранилище, и передаёт "запароленный" ключ вам.

Хорошо, что вы не храните у себя и пользовательские данные.

| предположим, что эти данные действительно попадают кому попало, что дальше?

Дальше тот, кому попало, берёт словарь и расшифровывает стыренный из открытой базы мастер-ключ. Теперь товарищ "из органов" спокойно расшифровывает им локальную базу, вытащенную с телефона "подозреваемого". Не защитили вы человечка получается, разве только себя.

Вы, конечно, можете возразить, что пароль надо иметь длинный. Но зачем тогда вся эта "мутотень" из цепочки перекодирования, пусть человек сразу помнит мастер-ключ.

PS. Даже, если человек не использует пароль, а вы сами шифруете мастер-ключ для хранения его на сервере, то доступ к устройству нивелирует это. Это даже хуже слабого пароля. Получается "грош цена такой защите". При том, что если все эти удобства выкинуть, то расшифровать данные кроме вас ни у кого не получится.

0

Понятно. Пользователь слабым паролем "пароль" шифрует мастер-ключ, которым шифруются данные в локальном хранилище, и передаёт "запароленный" ключ вам.

Не так. Есть массив данных и есть мастер ключ, которым нужно зашифровать этот массив.

Сначала генерируются (без привязки к мастер паролю) два ключа - приватный и публичный. Приватный расшифровывает данные, публичным - шифруем.

Нужный объем данных шифруется публичным ключом, дальше приватный ключ нужно безопасно передать на сервер для проверки доступа, для этого он (приватный ключ) всё там же на клиенте шифруется хешированной версией мастер ключа и передается на сервер.

Поэтому просто взять алфавит и перебрать не получится, 256 битный хеш мастер ключа будет перебираться сотни лет. Чтобы получить доступ к паролю нужно получить доступ непосредственно к устройству, на котором уже введен мастер-пароль

0

Выше же в PS я сразу описал эту схему "улучшенной защиты".

0

Так доступ к устройству вообще любую защиту нивелирует. И это
"о расшифровать данные кроме вас ни у кого не получится" тоже неправда.
Даже у нас расшифровать не получится, потому что ключ для шифрованного мастер пароля мы не знаем

Если так рассуждать, то чтобы тебя не взломали - всё в памяти нужно хранить, в нее проникать пока не научились)

0

| Так доступ к устройству вообще любую защиту нивелирует.

Нет. Если на устройстве нет ничего кроме зашифрованного контейнера, то ничего вы с ним не сделаете.

0

Так и есть. На сервере хранится копия этого контейнера на случай, если пользователь захочет зайти с нового устройства, вся остальная магия происходит на устройстве.

Я думал речь идёт о кейлоггерах всяких и прочем параллельном доступе :)

0

Вот именно поэтому ваш сервис ждёт провал))

1

Надеюсь, что нет :)

0

А потом ушлый ПМ придумают мега фичу которая пустит вашу мега безопасность по пиз@#. Наверняка существует тикет из-за которого все и началось.

0

Так все компании говорят ровно то же самое )
Причем даже если сегодня это так, это не значит, что завтра будет так же.
Пользователь все равно не знает, что там происходит.
И владелец тоже может не знать.

0

Всё, что передает клиент (браузер, мобильное приложение и тд) спокойно инспектится и любой баг-хантер или разоблачитель может написать статейку что заявлено одно, а на сервак передается куча всего другое

0

Сказал как боженька.

2

Никогда такого не было, и вот опять.

10

«Вице-президент Facebook подчеркнул, что компания не нашла признаков использования паролей за пределами соцсети»

То есть с рабочих компов позаходили в странички пользователей, а за пределами офиса не логинились?

4

Через VPN до офиса

1

Кокс, Кребс, дальше будет Фекс , полагаю?

3

А Кребс поведал плебсу.

2

А что? Хороший бизнес :)
На старте бизнеса особенно нужны деньги. Вдруг фейсбук не взлетел-бы, тогда хоть какую-то отбивку денег можно было-бы произвести продав пароли и логины

–7

Когда вы говорите, такое ощущение, что вы бредите

8

У нас совсем народ без юмора, сразу заминусовали. Ведь с иронией написано было, а вы в серьёз все повоспринимали :-/

0

я смотрю, у бобра компания была

2

Почему в комментах еще нет упоминания истории с заказом кребсу наркоты на дом?

2

После чего разговор должен будет плавно вывернуть на Red-eye и Гусева )

3

Комментарий удален по просьбе пользователя

1

И этих идиотов приводят в пример...

1

«Нам можно доверять», говорили они.

0

Не, на самом деле они говорили сначала так:
Zuck: I don't know why.
Zuck: They "trust me"
Zuck: Dumb fucks

7

Комментарий удален по просьбе пользователя

2

Одноклассники для запада

1

ждем новость "Facebook оштрафовали за очередное нарушение GDPR"

1

Имя мне у него нравится
А что пароли у них незашифрованы, так это и не удивляет

0

Суть не в том, чтобы просто ходить с этих паролей! Суть в создании словаря для атаки, и не факт, что только спецслужбы их пользовали. Хороший словарь - доступ ко всем учётам других сервисов

0
Парадный каякер

> [..] пароли некоторых пользователей [..]

> [..] инцидент затронул от 200 млн до 600 млн пользователей [..]

Ясно, понятно.

0
Читать все 67 комментариев
Как я стал резидентом ОЭЗ «Технополис Москва» — опыт компании «ХайТэк»

Опытом работы на территории особой экономической зоны столицы делится генеральный директор НТЦ «ХайТэк» Алексей Алясев.

Пресс-служба ОЭЗ «Технополис Москва».
VELES BLOG Рассказываем как себя вести, чтобы заработать с Veles
Как канадские любители снегоходов и квадроциклов открыли для себя Россию

«Важно найти свою нишу и быть готовым к тому, что ничего не получится».

Использование YOLOv5 для задачи детекции

Ликбез по нейронным сетям

Как «Л'Этуаль» игнорит покупателей

Цель данного поста – привлечь внимание представителей интернет-магазина «Л'Этуаль» к проблеме, которая не решается уже 5 дней. Если, конечно, они сюда заглядывают. А заодно предостеречь других людей, которые свяжутся с сервисом этой многоуважаемой компании в Москве.

За год с 4 до 16 млн выручки в месяц. Как без денег построить свою сеть из доставок роллов?
Китайский стартап по производству сельскохозяйственных роботов FJDynamics привлёк $70 млн Статьи редакции

Компания хочет упростить ручную работу в строительстве и садоводстве.

null