01-04-2019

Пароли миллионов пользователей Facebook хранились в открытом виде

Пароли многих пользователей Facebook хранились в открытом виде и были доступны сотрудникам. Об этом сообщили в заявлении компании. По оценкам экспертов компании проблема коснулась миллионов пользователей Facebook и десятки тысяч Instagram. В компании сообщили, что специалистами не было обнаружено утечки данных за пределы компании.

Большинство современных интернет-сервисов хранят не пароли пользователей, а рассчитанные для них хэши. Во время хэширования исходный пароль произвольной длины превращается в другую последовательность символов определенной длины. Особенность для этого используемых хэш-функций заключается в том, что провести обратную операцию по восстановлению пароля хэша, практически невозможно.

Хэш-функции редко сталкиваются с одинаковым хэшем для разных входных данных. Эти функции делают их удобным инструментом, которые позволяют проверить пароль пользователя, но не хранить его. При корректной реализации обработки пароля мошенники в случае взлома получить пароль не смогут.

Было выяснено, что некорректная обработка пароля компании привела к угрозе многих пользователей. В заявлении компания рассказала, что все пароли хранились на сервере в читаемом виде, а не в виде хэшей. Кроме того, после обнаружили проблемы с хранением другой информации, в том числе токенов доступа.

В компании отмечают, что все проблемы были исправлены и все пострадавшие пользователи получат уведомления, но принуждать сменить пароль никто не будет. Facebook объяснила это тем, что расследование не показало, что кто-то вне компании получил доступ к паролям или кто-то из персонала использовал персональные данные в своих целях.

Блог Krebs on Security сообщил со ссылкой на источники компании, что около 20 000 сотрудников компании имели доступ к паролям в открытом виде. Кроме того, около двух тысяч из них действительно получали эту информацию, но как они использовали ее неизвестно. Некоторые пароли хранились в открытом виде с 2012 года.

Подобные масштабные проблемы с безопасностью были обнаружены и в других компаниях, в том числе и в социальных сетях. Например, в 2018 году Twitter объявил, что так же обнаружил в своей базе пароли в открытом доступе и призвал пользователей сменить их.