Не успели еще затихнуть множественные скандалы вокруг Facebook, связанные с защитой конфиденциальности личных данных пользователей, как крупнейшая в мире социальная сеть в очередной раз дала маху. 19 марта эксперт по компьютерной безопасности Брайан Кребс со ссылкой на неназванного сотрудника компании сообщил, что Facebook хранила пароли сотен миллионов пользователей на своих серверах открытом виде. Уже 21 марта, через два дня после публикации Кребса, Facebook официально признала ошибку, не назвав точное число затронутых аккаунтов.
Обновлено: 18 апреля 2019 года Facebook уточнила, что на самом деле в открытом виде хранились пароли не десятков тысяч, а миллионов пользователей Instagram. В компании говорят, что об отсутствии каких-либо доказательств, что сотрудники получали несанкционированный доступ к данным и использовали их ненадлежащим образом.
Подавляющее большинство современных интернет-сервисов хранят не сами пароли пользователей — вместо этого они сохраняют зашифрованные версии (хэши, последовательности символов определенной длины), использующиеся при сверке с тем паролем, который вводится пользователем при авторизации. Особенность хеш-функций заключается в том, что они делают невозможной обратную операцию, то есть восстановить пароль из хэша практически невозможно. Именно эти свойства делают хэш-функции удобным инструментом для проверки паролей без необходимости их хранения.
Как выяснилось, в Facebook обработка пароля при его вводе была реализована некорректно и безопасность сотни миллионов пользователей была поставлена под угрозу взлома. Специалисты отдела безопасности Facebook обнаружили проблему в январе во время проверки безопасности сервиса. По крайней мере, так говорится в официальном заявлении. Facebook не приводит точное количество пользователей, чья безопасность личных данных была поставлена под угрозу, отмечая лишь, что проблема коснулась сотен миллионов пользователей Facebook Lite, десятков миллионов пользователей других сервисов Facebook и десятков тысяч пользователей Instagram.
Согласно предварительным результатам внутреннего расследования, которыми поделился с Кребсом информатор, речь идет о паролях от 200 до 600 миллионов пользователей, причем некоторые пароли хранились в открытом виде с 2012 года. Доступ к ним имели более чем 20 тысяч сотрудников Facebook. Более того, лог-файлы показали, что около двух тысяч из них действительно получали эту информацию, но пока неизвестно, каким именно образом они использовали ее.
В Facebook заверили, что все пользователи, которых коснулась проблема, получат соответствующие уведомления об инциденте. В то же время компания не будет просить пользователей сменить пароли. Инженер Facebook Скотт Ренфро в комментарии Кребсу заявил, что внутренняя проверка не выявила ни одного случая недобросовестного использования данных. В компании особо подчеркнули, что никто за пределами компании не имел доступ к паролям.
Но как бы там ни было, едва ли эта ситуация поможет Facebook в деле возвращения доверия пользователей.
Ранее подобные проблемы с безопасностью обнаруживали и в других крупных сервисах. К примеру, в прошлом году Twitter объявил, что так же обнаружил в своей базе данных пароли в открытом виде и призвал пользователей сменить пароли.
Источник: Facebook и Krebson Security