Miliony haseł użytkowników w pliku tekstowym bez ochrony? Oto standardy bezpieczeństwa Facebooka

Choć Mark Zuckerberg zapewniał, że Facebook nie pozwoli sobie już na taką wpadkę, jaka stałą się udziałem współpracy z Cambridge Analytica, to wygląda na to, że mamy do czynienia z kolejną grubą aferą. No bo jak nazwać proceder przechowywania danych milionów użytkowników tego serwisu w kompletnie niezabezpieczonym stanie, do których dostęp może mieć praktycznie każdy?

Afera ze sprzedawaniem danych użytkowników Facebooka firmie Cambridge Analytica odbiła się szerokim echem na całym świecie, nie tylko w samej branży – Mark Zuckerberg był zmuszony do tłumaczenia się z błędów przed amerykańskim sądem, a wycena akcji tego społecznościowego kolosa poszybowała w dół, zabierając kilkaset miliardów dolarów z wyceny serwisu.

Wydawałoby się, że w obliczu takich problemów ten gigant nie może sobie pozwolić na kolejną tak znaczącą wpadkę. Tymczasem wiele wskazuje na to, że jesteśmy świadkami bardzo podobnego „niedopatrzenia”.

Miliony haseł bez zabezpieczeń, na serwerze, z wolnym dostępem

Jak donoszą zagraniczne media, Facebook przechowywał bowiem hasła milionów użytkowników Facebooka oraz kilkudziesięciu tysięcy Instagram w formie „plaintext”, a więc dokładnie takiej, jak wpisuje je użytkownik, pozbawiając ich jakichkolwiek zabezpieczeń. Lista ta znajdowała się na wewnętrznych serwerach spółki i dostęp miał do niej praktycznie każdy inżynier pracujący w serwisie, a prawda jest taka, że przy zdobyciu odpowiednich informacji z haseł mógł skorzystać praktycznie każdy.

Choć wiceszef Facebooka do spraw bezpieczeństwa i prywatności, Pedro Canahuati, stwierdził, że nie ma żadnych dowodów świadczących o użyciu haseł przez niepowołane osoby i nie były one widoczne dla nikogo spoza struktur serwisu, to nieco inne zdanie ma jeden z anonimowych, wysoko postawionych pracowników Facebooka. Wedle jego informacji około 2000 pracowników wykonało aż 9 milionów wewnętrznych zapytań o elementy danych, które zawierały rzeczone hasła.

Wtopa goni wtopę

Wtopa? To mało powiedziane. Normalną praktyką – jak zapewnia Facebook – jest szyfrowanie haseł za pośrednictwem specjalnego, unikalnego „hashu”, który nawet przy wykryciu identycznych kombinacji jest różny. Dlaczego więc tej operacji nie wykonano i tym razem? Tego na razie nie wiadomo i przedstawiciele portalu zapewniają, że trwa dochodzenie mające wyjaśnić tę sytuację.

Szkopuł w tym, że reputacja Facebooka w odniesieniu do bezpieczeństwa naszych danych jest już i tak mocno nadszarpnięta, więc tak naprawdę ciężko uwierzyć w te zapewnienia. Użytkownikom pozostaje więc albo zmiana hasła, albo usunięcie konta – inaczej po prostu nie możemy się zabezpieczyć. Szkoda, że nasze bezpieczeństwo po raz kolejny zostało wystawione na ciężką próbę.

źródło