Ciekawy

Facebook przechował setki milionów haseł jako niezamaskowany tekst

Facebook przechował setki milionów haseł jako niezamaskowany tekst

W oszałamiającym odkryciu Facebook przyznał, że przypadkowo przechował setki milionów haseł użytkowników na wewnętrzne serwery firmy w postaci niezamaskowanego zwykłego tekstu już w 2012 roku.

Hasła użytkowników pozostawione jako zwykły tekst na wewnętrznych serwerach firmy

W opublikowanym dzisiaj oświadczeniu Pedro Canahuati, wiceprezes Facebooka ds. Inżynierii, bezpieczeństwa i prywatności, potwierdził, że podczas rutynowego przeglądu bezpieczeństwa w styczniu ubiegłego roku Facebook odkrył, że „niektóre hasła użytkowników” były wewnętrznie przechowywane przez Facebooka w postaci niezamaskowanego zwykłego tekstu.

ZOBACZ TAKŻE: ELON MUSK USUWA WSZYSTKIE KONTA JEGO I JEGO FIRM NA FACEBOOKU

„Zwróciło to naszą uwagę, ponieważ nasze systemy logowania są zaprojektowane do maskowania haseł za pomocą technik, które czynią je nieczytelnymi” - powiedział Canahuati. „Rozwiązaliśmy te problemy i jako środek ostrożności powiadomimy wszystkich, których hasła, które znaleźliśmy, były przechowywane w ten sposób”.

„To jest coś, co powinno zostać złapane lata temu. Dlaczego tak się nie stało?”

Przyczyną niepowodzenia maskowania - hasła są zwykle szyfrowane przy użyciu procesu zwanego haszowaniem, który szyfruje czytelny tekst w bełkot - była sytuacja, w której inżynierowie oprogramowania najwyraźniej tworzyli aplikacje na swojej platformie, które poprzez szereg błędów kończyły się rejestrowaniem niezamaskowanych , czytelne hasła i logowałem je wewnętrznie bez ich poprawnego szyfrowania.

Pierwotnie oflagowane przezKrebs o bezpieczeństwie, Przyznanie przez Canahuati, że „niektórzy” użytkownicy zostali dotknięci, może być postrzegane jako niewielkie niedomówienie. Według Krebs, gdziekolwiek od 200 do 600 milionów użytkowników Facebooka miało ujawnione hasła do swoich kont na Facebooku, niektórzy już w 2012 roku.

Facebook przyznaje, że haseł, których dotyczy problem, liczą setki milionów użytkowników Facebook Lite - wersja Facebooka zaprojektowana tak, aby była dostępna dla osób o słabej łączności lub słabszych urządzeniach -, dziesiątkach milionów zwykłych użytkowników Facebooka i dziesiątkach tysięcy Instagrama użytkowników.

Hasła możliwe do wyświetlenia - i przeszukiwania - przez ponad 20 000 pracowników Facebooka

Canahuati twierdzi, że „hasła te nigdy nie były widoczne dla nikogo poza Facebookiem i do tej pory nie znaleźliśmy żadnych dowodów na to, że ktokolwiek wewnętrznie wykorzystywał je lub uzyskiwał do nich niewłaściwy dostęp”.

Dochodzenie wciąż jednak trwa i nie ma sposobu, aby poznać prawdziwość tych zapewnień, biorąc pod uwagę wielokrotne uderzenia w wiarygodność firmy w ciągu ostatniego półtora roku, jeśli chodzi o kwestie prywatności i bezpieczeństwa danych. Wiemy, że te hasła mogły być dostępne i możliwe do odzyskania przez wyszukiwanie dla ponad 20 000 pracowników Facebooka, którzy mieli dostęp do wewnętrznego serwera Facebooka, na którym były przechowywane.

To o wiele za duża władza nad prywatnością i bezpieczeństwem danych użytkowników, jak na pracownika Facebooka, bez względu na to, jak bardzo mają dobre intencje.

Powiedział anonimowy pracownik Facebooka Krebs że „dzienniki dostępu wykazały, że około 2000 inżynierów lub programistów wykonało około dziewięciu milionów zapytań wewnętrznych dotyczących elementów danych zawierających hasła użytkowników w postaci zwykłego tekstu”.

W rozmowie z Krebs, drugi pracownik Facebooka, inżynier oprogramowania Scott Renfro, mówi, że jak dotąd nie ma żadnych dowodów na to, że ktoś celowo próbował zebrać te dane dotyczące hasła.

„Do tej pory nie znaleźliśmy w naszych dochodzeniach żadnych przypadków, w których ktoś celowo szukał haseł, ani nie znaleźliśmy oznak niewłaściwego wykorzystania tych danych” - powiedział Renfro. „W tej sytuacji odkryliśmy, że te hasła zostały nieumyślnie zarejestrowane, ale nie istniało żadne rzeczywiste ryzyko, które z tego wynika. Chcemy mieć pewność, że rezerwujemy te kroki i wymuszamy zmianę hasła tylko w przypadkach, gdy na pewno pojawią się oznaki nadużycia ”.

Chociaż mogły to być niepowiązane zapytania, które służyły innym uzasadnionym celom i nie mogły z nich wyniknąć żadne szkody, Facebook zasadniczo prosi nas, abyśmy wierzyli na słowo.

To dosłownie niewiarygodne, że to po prostu prześlizgnęło się przez pęknięcia przez lata

Jeśli mogę tu trochę zredagować, stwierdzenie, że tak się nie stało, oznacza zaniżenie przypadku o kilka rzędów wielkości.

Awarie oprogramowania występują przez cały czas, należy się tego spodziewać, a czasami odkrycie przyczyny szczególnie subtelnej awarii oprogramowania może zająć dużo czasu; zgubiona para{ } nawiasy w kawałku kodu mogą radykalnie zmienić zachowanie programu, nawet jeśli program wydaje się działać dobrze.

Bot może bardzo szybko wykonać 9 milionów zapytań w bazie danych, używając wystarczająco wydajnego procesora, który bez wątpienia mają pracownicy Facebooka. Facebook przechowuje również niezgłębioną ilość surowych danych na swoich serwerach. W związku z tym te 9 milionów wyszukiwań prawdopodobnie stanowi bardzo małą część zapytań wykonywanych przez pracowników Facebooka w ciągu kilku lat. Jest bardzo zrozumiałe, że tak mały rozmiar próbki sprawia, że ​​wykrycie ujawnienia hasła nie jest gwarancją.

„Jak dotąd w naszych dochodzeniach nie znaleźliśmy żadnych przypadków, w których ktoś celowo szukał haseł, ani też nie znaleźliśmy oznak niewłaściwego wykorzystania tych danych”. - Inżynier oprogramowania Facebooka Scott Renfro, wywiad z KerbsOnSecurity

Jest również prawdopodobne, że inżynierowie i programiści, którzy wykonali te zapytania, odzyskali węzeł danych zawierający informacje o użytkowniku, w tym niezamaskowane hasła, i nigdy nawet nie spojrzeli na dane, do których chcieli zapytać. Programiści mogą po prostu użyć skryptu lub funkcji, aby pobrać dane z określonego, niepowiązanego pola danych ujawnionego węzła danych użytkownika i przesłać te dane bezpośrednio do dowolnego programu, nad którym pracowali.

W takim przypadku mogliby wykonywać miliony zapytań na godzinę i nigdy nie musieliby przeglądać ani jednej linii danych użytkownika, a tym bardziej ujawnionych haseł.

Natura tego rodzaju programowania może utrudniać wyśledzenie takiego błędu, patrząc na kod i śledząc logikę programu. Systemy są po prostu zbyt skomplikowane, aby było to możliwe, a problemy z danymi wejściowymi - zwłaszcza danymi wprowadzanymi przez użytkownika, takimi jak hasła - należą do najbardziej nieprzewidywalnych wyzwań, jakie programiści muszą próbować przewidzieć podczas projektowania oprogramowania.

Właśnie tego rodzaju nieprzewidywalne problemy są powodem, dla którego powstały całe biblioteki zaawansowanych testowych interfejsów API. Korzystając z automatyzacji, możesz przetestować moduł oprogramowania przez miliony powtórzeń przy użyciu różnych danych wejściowych, aby przetestować moduł w warunkach skrajnych i spróbować go złamać, ujawniając w ten sposób ukryte luki w zabezpieczeniach przed wdrożeniem oprogramowania.

Podobnie, możesz wprowadzić miliony różnych danych wejściowych do funkcji i sprawdzić, czy wynik jest taki, jaki powinien być; na przykład, nie wiem, być może, czy hasło przekazane do funkcji haszującej faktycznie zwraca zaszyfrowane hasło. Jasne, żaden test nie jest doskonały i nic nie może być w 100% bezpieczne, ale nie jest to wyjątkowo rzadkie zdarzenie, które ujawniło kilkaset haseł jako niezamaskowany, prosty test jako ofiarę dla losowego boga liczb.

Facebook ma około 2,5 miliarda aktywnych użytkowników miesięcznie, więc 200 do 600 milionów użytkowników, których hasła zostały ujawnione, stanowi, w przybliżeniu procentu wszystkich użytkowników Facebooka, około 8-24% aktywnych miesięcznych użytkowników Facebooka.

To ogromny procent osób, które przedarły się przez pęknięcia przez lata. Po prostu nie jest możliwe, aby te niezamaskowane hasła w postaci zwykłego tekstu nie pojawiły się podczas tego rodzaju rygorystycznych testów, których potrzebujesz, gdy masz do czynienia z czymś tak wrażliwym jak przechowywane dane haseł. Fakt, że te niezamaskowane hasła w postaci zwykłego tekstu zostały „pominięte” przez niektóre z najbardziej „elitarnych” zespołów ds. Zapewnienia jakości, analityków bezpieczeństwa i programistów uzyskujących dostęp do tych elementów danych w pozornie niepowiązanych celach, jest gobsmackingiem.

Nawet jeśli każde z ujawnionych haseł reprezentuje użytkownika, który opuścił swoje konta w mediach społecznościowych lata wcześniej, nie miałoby to znaczenia. Dane nadal tam były, w pełni dostępne dla pracowników wewnętrznych, machając czerwoną flagą, aby każdy mógł zobaczyć, kto zadał sobie trud. To jest coś, co powinno było zostać złapane lata temu. Dlaczego tak się nie stało?

Do diabła, bot uruchamiający algorytm regex na polach haseł użytkowników zawartych w pliku danych użytkownika przez mniej niż jeden dzień wychwyciłby rozpoznawalne słowa pojawiające się w hasłach użytkowników i wywołałby alarmy dotyczące tego naruszenia bezpieczeństwa; zamaskowane hasła nie zawierają słów bronco, patriot ani ILoveBetoORourkeABunch.

Sprawdzanie miliardów kont użytkowników pod kątem rozpoznawalnych wzorców zapisanych haseł, które ujawniłyby tę lukę, wydaje się bardzo pracochłonne, ale algorytmy Facebooka robią to dosłownie każdego dnia. Ten rodzaj analizy danych jest dokładnie tym, do czego Facebook istnieje na Ziemi, ale wygląda na to, że woleliby ustawić swoje algorytmy luźno na naszych danych, aby spróbować dowiedzieć się, jakie ubrania lubimy, aby mogli sprzedać nasze preferencje reklamodawcy.

Facebook bez wątpienia ujawni więcej informacji na temat tego naruszenia bezpieczeństwa i tego, co zamierzają zrobić, aby rozwiązać problem, ale biorąc pod uwagę niedawny skandal Facebooka dotyczący kwestii prywatności i bezpieczeństwa danych, nie jest to co najmniej zachęcający krok. Fakt, że wykryto go dopiero w styczniu, po tym, jak inżynierowie przeprowadzający „rutynowe” testy bezpieczeństwa zauważyli, że hasła nie były maskowane, nasuwa pytanie, dlaczego wcześniejsze „rutynowe” testy bezpieczeństwa nie ujawniły tego problemu wcześniej?

Nie trzeba dodawać, że niepowodzenie w zabezpieczeniu danych zawartych w setkach milionów kont użytkowników poprzez pozostawienie kluczy do tych kont - niezamaskowanych haseł w postaci zwykłego tekstu - ujawnionych na wewnętrznych serwerach firmowych jest najbardziej spektakularną porażką w tym, co już się stało. To było straszne półtora roku dla Facebooka.


Obejrzyj wideo: Jak włamać się do windows 7, 8, 10 nie znając hasła (Styczeń 2022).