Facebook хранил сотни миллионов паролей юзеров в открытом виде
Крупнейшая в мире социальная сеть снова попала в передрягу. 19 марта эксперт по компьютерной безопасности Брайан Кребс со ссылкой на неназванного сотрудника компании сообщил, что Facebook хранила пароли сотен миллионов пользователей на своих серверах открытом виде. Уже через два дня после публикации Кребса, Facebook официально признала ошибку, не назвав точное число затронутых аккаунтов. Об этом сообщает ITC.ua.
Подавляющее большинство современных интернет-сервисов хранят не сами пароли пользователей — вместо этого они сохраняют зашифрованные версии (хэши, последовательности символов определенной длины), использующиеся при сверке с тем паролем, который вводится пользователям при авторизации. Особенность хеш-функций заключается в том, что они делают невозможной обратную операцию, то есть восстановить пароль из хэша практически невозможно. Именно эти свойства делают хэш-функции удобным инструментом для проверки паролей без необходимости их хранения.
Как выяснилось, в Facebook обработка пароля при его вводе была реализована некорректно и безопасность сотни миллионов пользователей была поставлена под угрозу взлома. Специалисты отдела безопасности Facebook обнаружили проблему в январе во время проверки безопасности сервиса. По крайней мере, так говорится в официальном заявлении.
Facebook не приводит точное количество пользователей, чья безопасность личных данных была поставлена под угрозу, отмечая лишь, что проблема коснулась сотен миллионов пользователей Facebook Lite, десятков миллионов пользователей других сервисов Facebook и десятков тысяч пользователей Instagram.
Согласно предварительным результатам внутреннего расследования, которыми поделился с Кребсом информатор, речь идет о паролях от 200 до 600 миллионов пользователей, причем некоторые пароли хранились в открытом виде с 2012 года. Доступ к ним имели более чем 20 тысяч сотрудников Facebook. Более того, лог-файлы показали, что около двух тысяч из них действительно получали эту информацию, но пока неизвестно, каким именно образом они использовали ее.
В Facebook заверили, что все пользователи, которых коснулась проблема, получат соответствующее уведомления об инциденте. В то же время компания не будет просить пользователей сменить пароли. Инженер Facebook Скотт Ренфро в комментарии Кребсу заявил, что внутренняя проверка не выявила ни одного случая недобросовестного использования данных. В компании особо подчеркнули, что никто за пределами компании не имел доступ к паролям.
Ранее подобные проблемы с безопасностью обнаруживали и в других крупных сервисах. К примеру, в прошлом году Twitter объявил, что так же обнаружил в своей базе данных пароли в открытом виде и призвал пользователей сменить пароли.