Facebook: setki milionów haseł czystym tekstem

Hasła setek milionów użytkowników Facebooka były przechowywane bez jakiegokolwiek zaszyfrowania. Jak podaje KrebsOnSecurity, zapisane czystym tekstem hasła były potencjalnie dostępne dwudziestu tysiącom pracowników firmy. Co najmniej 2000 programistów pracujących dla FB wykorzystywało dostęp do tej bazy podczas prac nad rozwojem portalu.

Dokładna liczba haseł, które plątały się bez zaszyfrowania, szacowana jest na 200-600 milionów, a najstarsze z nich mogą pochodzić z 2012 roku. Co – w dużym uproszczeniu – może oznaczać, że nawet co piąty aktywny użytkownik portalu może być dotknięty problemem. Według przepytywanego przez KrebsOnSecurity Scotta Renfro, Facebook nie będzie wymagał zmiany hasła przez użytkowników, których dane nie były zaszyfrowane. Jak twierdzi Renfro, prawdopodobnie nikt nie sięgał do bazy w złośliwych celach.

Facebook przyznał, że problem istniał, i zapewnia, że wszystko zostało już poprawione.

Co to dla nas oznacza
Masz Facebooka? Korzystasz z tego samego hasła w innych miejscach? Zmień je. Nawet, jeśli Facebook uspokaja, że nic się nie stało. Najważniejszą rzeczą przy tworzeniu systemów autoryzujących jest korzystanie z tzw. jednokierunkowych funkcji skrótu (i szczypty soli) do zapisywania haseł. Jeśli programiści tego nie robią, mocno ułatwiają życie potencjalnym włamywaczom, którzy nie muszą już korzystać z tęczowych tablic do ich rozkodowywania.

Dodatkowo, ta sytuacja powinna być dla Ciebie nauczką – nie warto wierzyć, że nawet dostawcy najpopularniejszych usług na świecie nigdy nie popełnią błędu. Błędy, niedopatrzenia i objawy zwykłej głupoty można znaleźć w wielu skomplikowanych systemach. Dlatego pamiętaj – nawet jeśli dostawca popularnej usługi obiecuje ci pełną prywatność, nie korzystaj z niej w celu przesyłania rzeczy, których nie chcesz kiedyś zobaczyć w serwisach publikujących dane z wycieków danych.

Co to oznacza dla Facebooka?
To kolejny problem Facebooka w ostatnim czasie – jeszcze nie opadł kurz po tym, jak się okazało, że podane w celach autoryzacyjnych numery telefonów bywają wykorzystywane w celach marketingowych. Będzie głośno.

About lmj

Łukasz Jachowicz (honey). Pierwszy raz w internecie w 1991 lub 1992. Pierwszy raz z własnym serwisem (codziennie aktualizowanym!) – w 1996. Pierwszy raz z własnym serwisem oraz grupą wiernych fanów – w 2000/2001. Do dziś bez stałego łącza do internetu (choć by chciał – ale dystans ok. 90 metrów do skrzynki nie do przeskoczenia dla operatora). Przez wiele lat popularyzator idei otwartości w oprogramowaniu i standardach wykorzystywanych przez administrację publiczną. Zwolennik otwartości dostępu do możliwie szerokiego zakresu danych publicznych. Autor analiz i policy papers dotyczących otwartości danych publicznych i zarządzania internetem. Miłośnik (choć nie bezkrytyczny) Linuksa. Przez wiele lat zawodowo zajmował się analizowaniem styku polityki i technologii. Twórca 7thGuarda, Rębaczy i rosnącej liczby odcinków podkastu Cyber Cyber. Zawodowo związany z Mediarecovery, gdzie zajmuje się bezpieczeństwem IT i informatyką śledczą.

View all posts by lmj →

2 Comments on “Facebook: setki milionów haseł czystym tekstem”

  1. Setki milionów czy tysięcy? W tekście napisałeś „200-600 tysięcy”

  2. Masz rację, już poprawiłem. Dziękuję!

    (chodziło o miliony)

Comments are closed.