Facebook хранит сотни миллионов паролей без защиты

Facebook по ошибке хранила «сотни миллионов» паролей в незашифрованном виде, без какой-либо защиты, признала компания.

Ошибка, которая привела к небезопасному хранению паролей пользователей на внутренних серверах Facebook, затрагивает «сотни миллионов пользователей Facebook Lite, десятки миллионов других пользователей Facebook и десятки тысяч пользователей Instagram», сообщают в соцсетях. Facebook Lite - это версия Facebook, созданная для использования в странах, где мобильные данные недоступны или недоступны.

В своем заявлении вице-президент Facebook по проектированию, безопасности и конфиденциальности Педро Канахуати заявил: «На сегодняшний день мы не нашли никаких доказательств того, что кто-либо подвергался внутреннему насилию или неправомерному доступу» к паролям, которые «никогда не были видны никому, кроме Facebook». , Затронутые пользователи будут напрямую уведомлены.

Тем не менее, риск неправильного использования был высок. По словам журналиста по безопасности Брайана Кребса, который цитирует «старшего инсайдера Facebook» , «журналы доступа показали, что около 2000 инженеров или разработчиков сделали около девяти миллионов внутренних запросов на элементы данных, которые содержали незашифрованные пароли пользователей».

Передовая практика обеспечения безопасности паролей включает ряд мер предосторожности, чтобы гарантировать, что даже если компания взломана, украденные пароли не могут быть использованы. Пароли должны быть «хешированы», это односторонний процесс, который преобразует каждый пароль в уникальный «хэш», гарантируя, что даже два идентичных пароля производят разные хэши. Это те методы безопасности, которые обычно использует Facebook, и которые в данном случае были упущены.

Канауати сказал, что Facebook исправил эту проблему, а также некоторые проблемы, которые компания обнаружила в других функциях безопасности, таких как код, с помощью которого пользователи входят в систему через другие приложения.

Офис информационного комиссара предупреждает компании: «Не храните пароли в незашифрованном виде - убедитесь, что вы используете подходящий алгоритм хеширования или другой механизм, который предлагает эквивалентный уровень защиты от злоумышленника, получающего исходный пароль.

«Вам также следует убедиться, что архитектура вокруг вашей системы паролей не допускает случайной утечки паролей в виде открытого текста».

Лента форума
Блог ( 34 )
tw fb vk