-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Facebook przechowywał hasła setek milionów użytkowników w plaintext…

21 marca 2019, 17:01 | W biegu | komentarzy 16

Brian Krebs przynosi mrożącą krew w żyłach wiadomość:

Hundreds of millions of Facebook users had their account passwords stored in plain text and searchable by thousands of Facebook employees — in some cases going back to 2012, KrebsOnSecurity has learned.

Była też możliwość wyszukania rekordów zawierających te hasła przez pracowników Facebooka i wg Krebsa takie zapytania były realizowane:

My Facebook insider said access logs showed some 2,000 engineers or developers made approximately nine million internal queries for data elements that contained plain text user passwords.

Facebook wypuścił właśnie oświadczenie, informujące o problemie. Sprawę odkryto w styczniu 2019 (w ramach wewnętrznego audytu). Użytkownicy, którzy zostali dotknięci tym „felerem” zostaną w odpowiedni sposób poinformowani. Najwięcej dotkniętych jest użytkowników Facebook Lite (setki milionów), później ogólnie Facebooka (dziesiątki milionów) oraz Instagrama („ledwie” dziesiątki tysięcy):

We estimate that we will notify hundreds of millions of Facebook Lite users, tens of millions of other Facebook users, and tens of thousands of Instagram users.

Facebook dodaje, że nie ma żadnych dowodów na to aby hasła zostały wykorzystane nielegalnie przez pracowników, bądź wyciekły.

My zalecamy zmianę hasła do FB, szczególnie jeśli tego samego używacie również w innym miejscu. Programistom zalecamy przyjrzenie się temu badaniu (i sprawdzeniu jak często w realnych aplikacjach hasła potrafią być przechowywane w formie jawnej) oraz sekurakowemu kompendium bezpieczeństwa haseł.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. vocan

    X D

    Odpowiedz
  2. Sucharek

    fb powinno zapłacić karę i kropka

    Odpowiedz
  3. Marek

    Nie, no wy zalecacie założenie konta na FB, bo tam zamierzacie odpalić forum Sekuraka (…ależ wodzu co wódz, to ja przepraszam…)

    Odpowiedz
    • Przyznaj szczerze – obserwujesz na na Twitterze? Bo staramy się na max promować ten social-kanał (patrz też banner po prawej na górze).

      Odpowiedz
      • Marek

        Przyznaję szczerze, obserwuję i uważam że jest to dobry pomysł. Tym bardziej nie rozumiem po co broniliście tego FB jak Częstochowy jak wywiązała się g…burza na temat gdzie umieścić forum. Wskazywaliśmy, że to nie do końca przemyślana decyzja, tyle…
        Ja np chciałbym uczestniczyć na forum, wiadomości czytam głównie na telefonie no i jestem z miejsca wykluczony bo nie mam konta na FB.

        Odpowiedz
        • Zrobimy demo na FB :) Jak to się sprawdzi + będziemy mieć zasoby to z chęcią przeniesiemy to na zupełnie zewnętrzne miejsce (czyt nasz serwer). A broniliśmy FB za wygodę odpalenia tematu + jednak dawany tam zasięg ludzi. I to się nie zmienia :/ Bieżące, techniczne security też mają (ktoś o to musi cały czas dbać).

          Odpowiedz
      • Mor

        Mnie bardzo ciekawi czemu w ogóle ktokolwiek chciałby promować swoją aktywność w największych śmietnikach internetu jako takiego, którym są wszelakie sieci społecznościowe?
        Przecież jest o wiele czystszy i bardziej elegancki sposób na śledzenie treści: kanały RSS/Atom. Wystarczy ludzi do nich na nowo przyzwyczaić i informacje, które śledzą nie będą się już mieszały z memami, słodkimi kotkami i pierdyliardami zaproszeń do pseudo-gierek. ;)

        Odpowiedz
        • dla nas to było by najlepsze, ale jakoś ludzie nie chcą się do tego przekonać :/ w sensie http://sekurak.pl/rss Ale kto wie, może będzie wielki powrót tej technologii.

          Odpowiedz
          • Marek

            Mam rss feed sekuraka podpięty do Slacka.

      • Robert

        Sa tacy ktorzy uzywaja twiterra :D

        Odpowiedz
  4. Marek

    To już wiadomo, w jaki sposób Pejsbook sprawdzał, czy nowe hasło nie jest zbyt podobne do starego.

    Odpowiedz
  5. micro

    I pomyśleć, że facebook jest dostawcą zaufanej tożsamości… :)

    Odpowiedz
  6. Borygo

    Ale po co zmieniać? Nowe hasła w plain text znowu będą musieli gdzieś zapisać. Za kilka lat dowiemy się gdzie.

    Odpowiedz
    • za kilka lat się okaże że wszystkie hasła wszystkich ludzi już gdzieś są w plaintext zapisane ;)

      Odpowiedz
  7. zero one

    Narzekają a wszyscy tam konta mają… (mła nie ma)

    Precz z szjsebukiem!

    Chcesz zmian na lepsze nie uczestnicz w spektaklu trupizmu.

    Czego szczerze życzę wszystkim porządnym ludziom.

    I jeszcze apel:
    Nie napędzajcie tej maszynki do zbierania danych (a i szmalu). Korporacyjnej anty-ludzkiej machiny. Poradzą sobie i bez Was ale patrzcie z boku nie wzmacniając tego proszę wybaczyć syfu.

    Odpowiedz
  8. Monter

    Przestała działać Wam funkcja „odpowiedz”.
    Moja zwrotka do wypowiedzi Michała o niemożności przekonania ludzi do RSS – sorry, ale to IMO zależy mocno od tego jaki macie target. Mnóstwo ludzi używa RSS, szczególnie tych technicznych, nie chcących zginąć w gąszczu reklam i powiadomień o kotkach.
    Zatem: powodem założenia Forum jest reklama i byle jak najwięcej osób zobaczyło Sekuraka (no to wtedy FB), czy może jednak to ma być miejsce bardziej poważne (choć pewnie z mniejszą ilością wejść i klików)?

    Odpowiedz

Odpowiedz na Monter