Спецпроекты

Facebook и Instagram хранили сотни миллионов паролей в открытом виде

Безопасность Стратегия безопасности Пользователю Интернет Веб-сервисы Мобильность
Facebook вновь допустила серьезный просчет, в результате которого десятки тысяч сотрудников компании могли получить доступ к сотням миллионов страниц в Facebook и Instagram. Наличие проблемы социальная сеть официально признала лишь тогда, когда сторонний специалист по информационной безопасности со связями внутри компании рассказал о ней в интернете.

Безопасность под угрозой

Facebook хранила пароли сотен миллионов пользователей социальной сети и сервиса Instagram в виде в незашифрованном виде (plain text) на внутренних серверах компании. Об этом официально объявила администрация соцсети после того, как тему защищенности пользовательских данных в Facebook в своем блоге затронул специалист по кибербезопасности Брайан Кребс (Brian Krebs).

Компания не называет конкретное число затронутых аккаунтов, отмечая, что уведомления о происшедшем будут разосланы сотням миллионов пользователей «облегченной» версии Facebook, десяткам миллионов прочих пользователей и десяткам тысяч пользователей Instagram. Кребс, однако же, ссылаясь на источники внутри компании, оценивает число пострадавших в 200–600 млн. Он также утверждает, что пароли от некоторых затронутых учетных записей датируются 2012 г.

В своем заявлении компания также сообщает, что на данный момент проблема решена, а рассылка уведомлений пользователям осуществляется в качестве меры предосторожности.

Facebook утверждает, что незашифрованные пароли пользователей никогда не были доступны кому-либо за пределами компании. Случаев же недобросовестного использования столь чувствительной информации ее сотрудниками в ходе внутреннего расследования выявлено не было. По данным Кребса, доступом к паролям обладали свыше 20 тыс. работников Facebook, причем около 2 тыс. из них – инженеров и разработчиков – совершили порядка 9 млн внутренних обращений к этим данным. Он также напомнил о происшествиях похожего характера в Github и Twitter, хотя в этих случаях пароли были доступны лишь небольшому числу сотрудников.

Сотрудники Facebook могли иметь доступ к сотням миллионов страниц Facebook и Instagram

Неясной остается причина произошедшего. Специалисты компании говорят, что все пароли пользователей при создании учетной записи перед сохранением в базе данных «хэшируются» с криптографической «солью», то есть к исходному паролю сперва добавляется некая строка-модификатор, а затем полученное обрабатывается при помощи специальной функции. Полученная в результате строка кардинально отличается от первоначального пароля, а особенности алгоритма «хэширования» значительно затрудняют его восстановление для злоумышленника в случае хищения содержимого базы данных пользователей. Каким именно образом, пароли в виде простого текста оказались на серверах компании, представители Facebook не уточняют.

Инциденты с участием Facebook

За последние несколько лет компания Facebook неоднократно оказывалась в центре различных скандалов, касающихся порядка обращения с персональными данными пользователей одноименной социальной сети, что негативно отразилась на репутации компании и не позволило ей войти даже в первую сотню рейтинга самых уважаемых компаний Global RepTrak 100.

В марте 2019 г. утечка внутренних документов выявила, что Facebook шантажировала влиятельных политиков по всему миру с целью добиться в отдельных странах послабления законодательства в сфере защиты приватности пользователей.

В сентябре 2018 г. Facebook признала утечку данных более 50 млн владельцев учетных записей. Причиной взлома стала серьезная уязвимость в коде Facebook. Она была устранена в кратчайшие сроки, а о случившемся были уведомлены правоохранительные органы.

В ноябре 2018 г. стало известно о том, что соцсеть не смогла дать отпор киберпреступникам, в результате чего в руках хакеров оказались личные сведения о более чем 120 млн пользователей сети. Данные были выставлены на продажу по цене в 10 центов за один профиль.

Facebook и сама допускает утечки данных: в период с 2007 по 2014 гг. социальная сеть передавала британской аналитической компании Cambridge Analytica сведения о своих пользователях, в результате чего пострадали 87 млн человек.



Профиль месяца

Искусственный интеллект стал полумифическим понятием

Сергей Поляков

ИТ-директор Альфа-Банка

Взгляд месяца

Почему идея внутренней разработки себя не оправдала

Александр Глазков

председатель совета директоров, «Диасофт»

news