Zanimljiv

Facebook je stotine milijuna lozinki pohranio kao nemaskirani tekst

Facebook je stotine milijuna lozinki pohranio kao nemaskirani tekst


We are searching data for your request:

Forums and discussions:
Manuals and reference books:
Data from registers:
Wait the end of the search in all databases.
Upon completion, a link will appear to access the found materials.

U zapanjujućem otkriću danas, Facebook je priznao da je slučajno pohranio stotine milijuna lozinki korisnika na interne poslužitelje tvrtke kao demaskirani obični tekst koji seže još u 2012. godinu.

Korisničke lozinke lijevo izložene kao obični tekst na internim poslužiteljima tvrtke

U današnjoj izjavi Pedro Canahuati, potpredsjednik Facebooka za inženjerstvo, sigurnost i privatnost, potvrdio je da je tijekom rutinske sigurnosne provjere prošlog siječnja Facebook otkrio da je Facebook "neke korisničke lozinke" interno pohranio u nemaskirani običan tekst.

POGLEDAJTE I: ELON MUSK BRIŠE SVE FACEBOOK RAČUNE NJEGOVIH I NJEGOVIH TVRTKI

"Ovo nam je privuklo pažnju jer su naši sustavi za prijavu dizajnirani da maskiraju lozinke koristeći tehnike koje ih čine nečitkima", rekao je Canahuati. "Riješili smo ove probleme i iz predostrožnosti ćemo obavijestiti sve čije su lozinke pronađene na taj način pohranjene."

"Ovo je nešto što je trebalo uhvatiti prije mnogo godina. Zašto nije?"

Uzrok neuspjeha maskiranja - lozinke se obično šifriraju postupkom koji se naziva hashiranje i koji čita čitljivi tekst u besmislice - rezultat je softverskih inženjera koji su očito izgradili programe na svojoj platformi koji su, kroz očigledan niz pogrešaka, na kraju zabilježili demaskirano , čitljive lozinke i interno ih zabilježili bez ispravnog raspršivanja.

Izvorno označioKrebs o sigurnosti, Canahuatijevo priznanje da su to pogođeni "neki" korisnici moglo bi se shvatiti kao blago podcjenjivanje. Prema Krebs, negdje od 200 do 600 milijuna korisnika Facebooka imalo je izložene lozinke za svoje Facebook račune, neke još 2012. godine.

Facebook priznaje da zahvaćene lozinke broje stotine milijuna korisnika Facebooka Lite - inačica Facebooka dizajnirana da bude dostupna onima s lošom povezanošću ili slabijim uređajima -, desecima milijuna redovitih korisnika Facebooka i desecima tisuća Instagrama korisnika.

Lozinke koje je moguće vidjeti i moći ih pretraživati ​​više od 20 000 Facebook zaposlenika

Canahuati kaže da "ove lozinke nikada nisu bile vidljive nikome izvan Facebooka i do danas nismo pronašli dokaze da ih je netko interno zlostavljao ili im nepropisno pristupao."

Međutim, istraga je još uvijek u tijeku i ne postoji način da se sazna istinitost tih uvjeravanja s obzirom na opetovane udare na kredibilitet tvrtke tijekom proteklih godinu i pol dana kada je riječ o privatnosti i sigurnosti podataka. Ono što znamo je da je tim lozinkama možda moglo pristupiti i do njih ih je moglo doći pretraživanjem više od 20 000 zaposlenika Facebooka s pristupom internom Facebookovom poslužitelju na kojem su lozinke bile pohranjene.

To je previše moći nad privatnošću korisnika i sigurnošću podataka koju bi imao zaposlenik Facebooka, bez obzira koliko dobronamjerni bili.

Rekao je anonimni zaposlenik Facebooka Krebs da su "evidencije pristupa pokazale da je oko 2.000 inženjera ili programera poslalo približno devet milijuna internih upita za elemente podataka koji sadrže korisničke lozinke u običnom tekstu."

U intervjuu za Krebs, drugi zaposlenik Facebooka, softverski inženjer Scott Renfro, kaže da zasad nema dokaza da je itko namjerno pokušao prikupiti ove podatke o lozinki.

"U dosadašnjim istragama nismo pronašli nijedan slučaj da je netko namjerno tražio lozinke, niti smo pronašli znakove zlouporabe tih podataka", rekao je Renfro. „U ovoj smo situaciji otkrili da su ove lozinke nenamjerno zabilježene, ali da iz toga nije proizašao stvarni rizik. Želimo biti sigurni da smo rezervirali te korake i prisiliti na promjenu lozinke samo u slučajevima kada definitivno postoje znakovi zlouporabe. "

Iako su ovo možda bili nepovezani upiti koji su služili nekoj drugoj legitimnoj svrsi i od njih možda nije proizašla šteta, Facebook u osnovi traži da im vjerujemo na riječ.

Doslovno je nevjerojatno da se ovo jednostavno godinama provlačilo kroz pukotine

Ako se ovdje mogu malo urediti, reći da se to nije smjelo podrazumijeva slučaj za nekoliko redova veličine.

Neispravnosti u radu softvera događaju se cijelo vrijeme, to je i očekivano, a ponekad može potrajati dugo dok se ne otkrije uzrok posebno suptilnih kvara softvera; pogrešno postavljeni par{ } zagrade u dijelu koda mogu radikalno promijeniti ponašanje programa iako se čini da program radi sasvim u redu.

Bot može vrlo brzo uputiti 9 milijuna upita baze podataka ako koristi dovoljno snažan procesor, koji zaposlenici Facebooka nesumnjivo imaju. Facebook također pohranjuje nedokučivu količinu sirovih podataka na svojim poslužiteljima. U tom slučaju, ovih 9 milijuna pretraživanja vjerojatno predstavlja vrlo mali dio upita zaposlenika Facebooka tijekom nekoliko godina. Izuzetno je razumljivo da tako mala veličina uzorka čini otkrivanje izloženosti lozinki nije zajamčeno.

"U dosadašnjim istragama nismo pronašli nijedan slučaj da je netko namjerno tražio lozinke, niti smo pronašli znakove zlouporabe tih podataka." - Facebook softverski inženjer Scott Renfro, intervju s KerbsOnSecurity

Također je vjerojatno da su inženjeri i programeri koji su uputili ove upite pronašli podatkovni čvor koji sadrži korisničke podatke, uključujući nemaskirane lozinke, i nikada nisu ni pogledali podatke koje su tražili. Programeri mogu jednostavno koristiti skriptu ili funkciju za preuzimanje podataka iz određenog, nepovezanog podatkovnog polja izloženog korisničkog podatkovnog čvora i unošenje tih podataka izravno u bilo koji program na kojem su radili.

U tom bi slučaju mogli poslati milijune upita na sat i nikada ne moraju gledati niti jedan redak korisničkih podataka, a još manje izložene lozinke.

Priroda ovakve vrste programiranja može otežati pronalazak ovakve greške gledajući kôd i prateći logiku vašeg programa. Sustavi su jednostavno previše složeni da bi to bila mogućnost, a problemi s ulazima - posebno unosi koje unosi korisnik poput lozinki - među su najnepredvidljivijim izazovima koje programeri moraju pokušati predvidjeti prilikom dizajniranja softvera.

Upravo su takve vrste nepredvidivih problema razlog zašto su stvorene čitave knjižnice sofisticiranih API-ja za testiranje. Koristeći automatizaciju, možete testirati softverski modul kroz milijune ponavljanja pomoću različitih ulaza da biste testirali svoj modul i pokušali ga slomiti, otkrivajući tako skrivene ranjivosti prije primjene softvera.

Isto tako, možete unijeti milijune različitih ulaza u funkciju i potvrditi da je izlaz takav kakav bi trebao biti; kao, ne znam, možda da li lozinka proslijeđena u funkciju raspršivanja zapravo vraća šifriranu lozinku. Svakako, nijedan test nije savršen i ništa se ne može učiniti 100% sigurnim, ali ovo nije iznimno rijetka pojava koja je otkrila nekoliko stotina lozinki kao demaskiranih, običan test kao ponudu Bogu slučajnog broja.

Facebook ima oko 2,5 milijarde aktivnih mjesečnih korisnika, pa 200 do 600 milijuna korisnika kojima su izložene lozinke predstavljaju, otprilike približno postotak ukupnih korisnika Facebooka, oko 8-24% Facebook aktivne mjesečne baze korisnika.

To je ogroman postotak koji je godinama prolazio kroz pukotine. Jednostavno nije moguće da se ove nemaskirane lozinke u običnom tekstu ne pojave tijekom vrsta rigoroznog testiranja koje su vam potrebne kada imate posla s tako osjetljivim podacima kao što su pohranjeni podaci lozinke. Činjenica da su neke od najelitnijih lozinki u običnom tekstu "promašile" neki od najelitnijih timova za osiguranje kvalitete, sigurnosni analitičari i programeri koji tim elementima podataka pristupaju u tobože nepovezane svrhe.

Čak i ako bi svaka izložena lozinka predstavljala korisnika koji je napustio račune na društvenim mrežama godinama ranije, to ne bi bilo važno. Podaci su još uvijek sjedili tamo, u potpunosti su im bili dostupni interni zaposlenici, mašući crvenom zastavicom da bi svi vidjeli tko se trudi pogledati. To je nešto što je trebalo uhvatiti prije mnogo godina. Zašto nije?

Dovraga, bot koji izvodi algoritam regularnih izraza na poljima korisničkih lozinki koji se nalaze u korisničkoj podatkovnoj datoteci kraće od jednog dana mogao bi shvatiti da se prepoznatljive riječi pojavljuju u korisničkim lozinkama i aktivirati alarme zbog ovog sigurnosnog propusta; maskirane lozinke ne sadrže riječi bronco, patriot ili ILoveBetoORourkeABunch.

Provjeravanje milijardi korisničkih računa zbog prepoznatljivih uzoraka u pohranjenim lozinkama koji bi otkrili ovu ranjivost zvuči kao puno posla, ali to doslovno čine Facebookovi algoritmi svakog trenutka svakog dana. Ova vrsta analize podataka upravo je ono što Facebook postoji na ovoj Zemlji, ali čini se da bi radije pustili svoje algoritme na našim podacima kako bi pokušali shvatiti kakvu odjeću volimo kako bi mogli prodati naše preferencije oglašivači.

Facebook će nesumnjivo otkriti više informacija o ovom sigurnosnom propadu i onome što će poduzeti da riješe problem, ali s obzirom na nedavnu Facebookovu skandalnost oko pitanja privatnosti i sigurnosti podataka, ovo u najmanju ruku nije ohrabrujući razvoj događaja. Činjenica da je otkrivena tek u siječnju nakon što su inženjeri koji su provodili "rutinsko" sigurnosno testiranje vidjela je da lozinke nisu maskirane postavlja pitanje zašto raniji "rutinski" sigurnosni testovi nisu ranije izložili taj problem?

Nepotrebno je reći da je neuspjeh u zaštiti podataka sadržanih na stotinama milijuna računa njihovih korisnika ostavljanjem ključeva tih računa - nemaskiranih, jednostavnih lozinki - izloženih na njihovim internim poslužiteljima tvrtke najspektakularniji neuspjeh u onome što se već dogodilo bila prilično grozna godina i pol za Facebook.


Gledaj video: Kako uci nekome u facebook radi (Lipanj 2022).


Komentari:

  1. Eilig

    Žao mi je, ali mislim da niste u pravu. Razgovarajmo. Email me at PM, we'll talk.

  2. Norville

    Admirably!

  3. Elmo

    The matter has been removed

  4. Mikakasa

    Zanimljive informacije o novostima u graditeljstvu i uređenju interijera: konstrukcija okvira, uređenje interijera stambenih prostora i restauracija prostora. Publikacije o najnovijim inovacijama u dekorativnim materijalima i alatima, zanimljive preporuke stručnjaka. Lekcije i savjeti o radu s modernim tehnologijama završne obrade.



Napišite poruku