Новый провал Facebook: ни дня без происшествий

Facebook признал, что хранил пароли пользователей в незашифрованном виде

Charles Platiau/Reuters
На протяжении нескольких лет у сотрудников Facebook* был доступ к паролям пользователей в незашифрованном виде, что строжайше запрещено правилами цифровой безопасности. Социальная сеть уже признала промашку и заявила об исправлении ошибки. Тем не менее, личные данные юзеров Facebook в очередной раз были скомпрометированы, несмотря на многочисленные обещания Марка Цукерберга, что такие ситуации больше повторяться не будут.

Пароли сотен миллионов пользователей Facebook (владелец компания Meta признана в России экстремистской и запрещена) хранились в незашифрованном виде, доступные для чтения 2 тыс. сотрудникам компании, сообщает ИБ-блог KrebsOnSecurity. Некоторые из этих секретных комбинаций датируются еще 2012 годом.

Как сообщил источник внутри компании, в Facebook началось расследование ряда случаев, когда инженеры создавали приложения, не подвергающие пароли пользователей процедуре шифрования. В результате они хранились в виде простого текста на внутренних серверах Facebook, доступ к которым есть у ряда сотрудников социальной сети.

По предварительным данным, в базе данных Facebook хранились от 200 млн до 600 млн таких паролей.

Хранение в незашифрованном виде подразумевает, что воспользоваться комбинацией сможет любой сотрудник, открывший файл — совершать другие специальные действия ему не потребуется.

Инженер по программному обеспечению Скотт Ренфро рассказал автору блога Брайану Кребсу, что Facebook планировал уведомить пострадавших пользователей, но экстренная смена паролей им бы не потребовалась.

«До сих пор мы не обнаружили доказательств того, что кто-то в компании намеренно искал эти пароли, а также фактов о злоупотреблении ими... Никакого риска они не представляли. Мы рекомендуем менять пароли только в том случае, когда есть признаки компрометации», — заявил Ренфро.

По словам инженера, впервые о том, что пароли годами хранятся в виде текста, узнали в январе 2019 года.

«Мы делаем все возможное, чтобы уменьшить масштаб этой проблемы, и продолжаем искать долгосрочные меры, чтобы не допустить усугубления ситуации. Мы просматриваем логи, чтобы установить, имело ли место злоупотребление этими данными», — пояснил сотрудник Facebook.

Вскоре после публикации Кребса в официальном блоге Facebook появилась запись, в которой руководство компании признало факт нарушения и угрозы приватности пользователей.

«В рамках рутинной проверки в январе [2019 года] мы обнаружили, что некоторые пользовательские пароли хранились на наших внутренних серверах в читаемом формате. Это привлекло наше внимание, так как наши системы входа созданы таким образом, чтобы шифровать пароли, делая их нечитаемыми. Мы исправили эту проблему и, в качестве меры предосторожности, уведомим каждого, чей пароль хранился подобным образом», — говорится в пресс-релизе.

Руководство Facebook отметило, что соответствующие уведомления получат сотни миллионов пользователей Facebook Lite, десятки миллионов пользователей Facebook и десятки тысяч пользователей Instagram (владелец компания Meta признана в России экстремистской и запрещена). Сообщается, что доступа к этим паролям не было ни у кого, кроме сотрудников Facebook, и служба безопасности компании «не нашла доказательств» того, что эти данные были «неправильно использованы».

Тем не менее, даже если доказательства не были найдены на момент расследования,

нет никаких гарантий, что спустя месяц, полгода или год эти данные не окажутся на «черном» рынке — такие базы данных активно торгуются в даркнете за невысокую стоимость.

В дальнейшем их используют киберпреступники в своих целях.

В январе текущего года стало известно о крупнейшей утечке личных данных пользователей интернета — в общем доступе оказались почти 22 млн уникальных паролей и 772 млн электронных адресов.

Сообщается, что эта база паролей и адресов сформировалась в результате сразу нескольких утечек данных, самые первые из которых датируются 2008 годом.

Впоследствии выяснилось, что найденная база, получившая название Collection #1, являлась лишь малой частью более крупного массива данных. Так, в дополнение к Collection #1 объемом 87 Гб, были также обнаружены Collection #2 (526 Гб), Collection #3 (37 Гб), Collection #4 (178 Гб), Collection #5 (42 Гб) и еще две других папки, содержимое которых составляет 126 Гб личных данных. Как оказалось, Collection #1 продавалась на «черном» рынке по скромной стоимости в $45.