Миллионы пострадавших
Администрация Facebook (владелец компания Meta признана в России экстремистской и запрещена) подтвердила, что в результате мартовского инцидента, пострадали не «десятки тысяч», а «миллионы» пользователей Instagram (владелец компания Meta признана в России экстремистской и запрещена), сообщает TechCrunch. Речь идет о неожиданном открытии ИБ-эксперта Брайана Кребса, который выяснил, что пароли пользователей Facebook и Instagram годами хранились в незашифрованном виде, доступные для чтения 2 тыс. сотрудникам компании. Некоторые из этих секретных комбинаций датируются еще 2012 годом.
Хранение в незашифрованном виде подразумевает, что воспользоваться комбинацией сможет любой сотрудник, открывший файл — совершать другие специальные действия ему не потребуется.
Facebook обновила публикацию в блоге, посвященную этому инциденту, заявив о том, что обнаружила еще один архив с паролями Instagram-пользователей.
«Теперь мы оцениваем количество пострадавших в миллионы человек. Эти пользователи так же получат уведомления», — говорится в официальном сообщении компании. Более точных цифр о масштабах у Facebook нет.
«Этот инцидент уже был широко освещен, но мы хотим прояснить ситуацию, сообщив, что в таком [незашифрованном] виде хранилось гораздо больше паролей», — заявил представитель Facebook.
Известно, что социальная сеть начала проверку по данному вопросу лишь после публикации Кребса в своем блоге. Если бы он не заметил подобное проявление халатности к приватности пользователей, пароли могли бы и дальше оставаться незащищенными, подвергая риску своих владельцев.
«В рамках рутинной проверки в январе [2019 года] мы обнаружили, что некоторые пользовательские пароли хранились на наших внутренних серверах в читаемом формате. Это привлекло наше внимание, так как наши системы входа созданы таким образом, чтобы шифровать пароли, делая их нечитаемыми. Мы исправили эту проблему и, в качестве меры предосторожности, уведомим каждого, чей пароль хранился подобным образом», — говорится в пресс-релизе Facebook, выпущенном после освещения этой проблемы в СМИ.
Инженер по программному обеспечению Скотт Ренфро рассказал Брайану Кребсу, что Facebook планировал уведомить пострадавших пользователей, но экстренная смена паролей им бы не потребовалась.
«До сих пор мы не обнаружили доказательств того, что кто-то в компании намеренно искал эти пароли, а также фактов о злоупотреблении ими... Никакого риска они не представляли. Мы рекомендуем менять пароли только в том случае, когда есть признаки компрометации», — заявил Ренфро.
Тем не менее, после таких инцидентов специалисты по информационной безопасности рекомендуют в любом случае сменить пароль «просто на всякий случай».
Кроме того, не стоит использовать одни и те же комбинации на разных сайтах и сервисах, так как компрометация одного из них машинально приведет к компрометации всех аккаунтов.
Пароли — на вес золота
Утечки баз данных паролей в сеть являются одним из глобальных бедствий, которые одновременно затрагивают миллионы пользователей по всему миру. В январе текущего года специалисты по кибербезопасности обнаружили крупнейшую утечку личных данных пользователей интернета — в общем доступе оказались почти 22 млн уникальных паролей и 772 млн электронных адресов. Как выяснилось позднее, найденный архив — лишь малая часть более массивной базы данных, содержащей в себе около терабайта конфиденциальной информации.
В дополнение к Collection #1 объемом 87 Гб были также обнаружены Collection #2 (526 Гб), Collection #3 (37 Гб), Collection #4 (178 Гб), Collection #5 (42 Гб) и еще две других папки, содержимое которых составляет 126 Гб личных данных.
При этом ИБ-эксперт Трой Хант, первым обнаруживший утечку, также порекомендовал своим подписчикам не использовать один и тот же пароль дважды.
«Это может показаться странным, но запись пароля в тетрадку, которая будет храниться в вашей запертой квартире, гораздо лучше, чем использование одного и того же пароля на разных сайтах», — заявил Хант.
Базы данных паролей торгуются на «черных» рынках даркнета и перепродаются злоумышленникам для личных целей. Например, секретные комбинации используются для шантажа — летом прошлого года стало о новом виде мошенничества, когда жертву шантажируют записью видео с веб-камеры во время посещения порносайтов.
Чтобы угроза выглядела правдоподобной, мошенники присылают пользователю его настоящий пароль, с помощью которого они якобы взломали его компьютер. Когда жертва видит свой пароль, она верит, что у злоумышленника действительно есть на нее компромат, и потому гораздо охотнее платит денежный выкуп.