Интернет
Николай Чумаков
14 520

Facebook хранил миллионы паролей как обычный текст. В течение нескольких лет их могли увидеть тысячи сотрудников Материал редакции

В компании это признали.

Facebook несколько лет хранил миллионы паролей пользователей в виде обычного текста. Благодаря этому к ним имели доступ тысячи сотрудников компании. Об этом сообщил специалист по кибербезопасности Брайан Кребс (Brian Krebs), в соцсети подтвердили информацию.

  • Из-за внутренних сбоев в Facebook не работали приложения, которые должны были шифровать пароли для защиты от утечки. Благодаря этому комбинации пользователей находились в текстовом виде и были видны как минимум 20 тысячам сотрудников;
  • Источник в соцсети рассказал, что проблема коснулась от 200 до 600 миллионов пользователей. Расследование внутри компании продолжается с января, однако до сих пор не удалось выяснить масштаб утечки. Некоторые данные датированы 2012 годом;
  • В заявлении Facebook указано, что ни один из паролей не был украден или показан кому-то, кроме сотрудников. Вице-президент по безопасности соцсети подтвердил, что проблема коснулась «сотен миллионов пользователей Facebook Lite, десятков миллионов других пользователей Facebook и десятков тысяч пользователей Instagram»;
  • По информации источника, около двух тысяч инженеров или разработчиков сделали не менее девяти миллионов внутренних запросов о паролях. С какой целью — неизвестно;
  • «Мы исправили эту проблему, а в качестве мер предосторожности предупредим всех, чьи пароли мы нашли в открытом виде», — заявили в Facebook.

За последний год это не первая уязвимость в безопасности Facebook. 28 сентября компания заявила о том, что обнаружила уязвимость, через которую хакеры могли завладеть ключами доступа к 90 миллионам страниц пользователей. В октябре соцсеть призналась, что злоумышленники получили номера телефонов и электронные адреса 30 миллионов человек. В декабре выяснилось, что также Facebook передавал ИТ-компаниям расширенные данные пользователей, в том числе доступ к личным сообщениям.

ты узнаешь автора этих статей по заголовку, так что подписывайся — https://t-do.ru/cumonmychannel
{ "author_name": "Николай Чумаков", "author_type": "editor", "tags": ["\u0443\u0442\u0435\u0447\u043a\u0438","\u043f\u0430\u0440\u043e\u043b\u0438","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c","facebook"], "comments": 67, "likes": 76, "favorites": 2, "is_advertisement": false, "subsite_label": "internet", "id": 90978, "is_wide": true, "is_ugc": false, "date": "Thu, 21 Mar 2019 19:14:53 +0300", "is_special": false }
Объявление на TJ Отключить рекламу
0
67 комментариев
Популярные
По порядку
Написать комментарий...

Российский хичхакер

67

ни один из паролей не был украден или показан кому-то, кроме сотрудников.

Ответить

Московский звук

30

Если такая шляпа происходит в фейсбуке, то в вк пароли, должно быть, выписаны на стикерах и расклеены по всему офису

Ответить
19

Комментарий удален по просьбе пользователя

Ответить

Природный завод

DELETED
6

Ну типо в Америке работают лучшие умы мира, и если там допускается такой косяк, то что же происходит в остальном мире

Ответить
47

*лучшие индусы мира

Ответить

Природный завод

Gregory
0

Там еще и россияне есть

Ответить
3

россиян там нет, там русские.

Ответить

Природный завод

TheVeng…
0

Звучит оскорбительно по отношению к людям других национальностей с гражданством РФ

Ответить
0

Ну так напиши заявление в полицию и его посадят

Ответить
0

У нас тоже индусы, просто свои собственные

Ответить

Железнодорожный историк

Московский
10

Такой ламповый оффлайновый способ хранения безопаснее чем в тхт.

Ответить
1

Стикеры безопаснее текста, к которому можно получить доступ через интернет

Ответить
17

Ничего своего придумать не могут! ВК еще 10 лет назад хранил пароли в открытом виде

Ответить

Каменный глобус

Илья
1

Зочем их вообще хранить?🤷‍♀️ Только лишняя нагрузка

Ответить
32

Вот именно, нужно только логины хранить. А пароль чтоб любой подходил

Ответить

Каменный глобус

Илья
0

Та не, я серьёзно спрашиваю ( я не пониматб

Ответить
0

Сервер должен знать какой у тебя пароль, чтобы было с чем сравнивать. Другое дело, что пароль в чистом виде храниться не должен – он зашифрован.

Ответить

Акционерный нос

Роман
7

Нормальные компании не хранят пароли вообще ни в каком виде, даже в зашифрованном. Для каждого юзера при регистрации нужно просто пилить свою соль и брать от этого добра хэш. Готово, компания не знает пароли до тех пор, пока в SHA256/BLAKE2 нельзя будет перебирать коллизии достаточно быстро и эффективно.

Ответить
0

Это шутка такая?

Ответить

Акционерный нос

Никита
1

Где ты увидел намек на шутку?

Ответить
–2

А как будет происходить авторизация юзера, если пароль не будет храниться вот совсем никак-никак? По одному только логину?
Так или иначе пароль будет храниться, просто он будет не в зашифрованном виде открыто лежать, а более сложно. Но он всё ещё нужен, и всё ещё хранится (в некотором смысле).

Ответить

Акционерный нос

Никита
5

Ох, учи матчасть. Сервер нигде не хранит пароль. Сервер хранит хэш, взятый от пароля и соли. Превратить хэш в пароль невозможно, операция хэширования необратима. Зато превратить пароль и соль в равный хэш — пожалуйста. Это происходит каждый раз при авторизации на нормальных сайтах.

Ответить
2

Да, я это все знаю. Но почему-то думал, что это тоже считается шифрованием. А оказалось, что при шифровании возможность расшифровки назад обязательна. Сорян.

Ответить
0

Ну я вощем это и имел в виду

Ответить

Каменный глобус

Роман
0

Я ж говорила что ты умничка )

Ответить
2

Возможно даже сегодня ты узнаешь, что такое хэш!

Ответить
5

... и соль

Ответить
5

Обязательно

Ответить
0

Он на ксанаксе сидел

Ответить
2

Но при этом известный специалист по солям

Ответить
1

Комментарий удален по просьбе пользователя

Ответить
2

Давай не будем пугать девочку

Ответить
0

А то будут ещё кошмары ночью сниться. Раз два, хэш зашифрует тебя

Ответить
0

шифрование и хэширование - немного разные вещи

Ответить
0

Для нетехнаря это почти одно и тоже

Ответить

Каменный глобус

Роман
0

Пуганные ужо

Ответить

Каменный глобус

Илья
0

Та не, я просто тупанула. Сори

Ответить

Аналитический месяц

1

Не самый удачный год выдался для Цукерберга

Ответить

Аналитический месяц

Николай
20

Каждый год

Ответить
–2

Всем похуй, те чьи пароли утекли даже не понимают о чём эта новость, а те кто понимают не могут закрыть фейсбук и уволить его руководство за некомпетентность потому что капитализм и частная собственность атата

Ответить

Каменный глобус

Ded
2

Если от туда все уйдут он развалится. Так и работает капитализм

Ответить
6

Я же говорю, никто не понял о чём новость даже, никто оттуда не уйдёт, а те кто понимают какой это пиздец не имеют никакой власти

Ответить

Каменный глобус

Ded
0

Я думаю люди не дураки в большинстве своём и понимают все. Другое конечно дело что им все равно, а это грустно

Ответить

Акционерный нос

Каменный
1

К сожалению ты ошибаешься. Большинство людей это макаки с IQ в районе 80.

Ответить

Таинственный

Акционе…
3
Ответить

Каменный глобус

Акционе…
0

Ну может быть 🤷‍♀️

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
1

Капитализм защищает фейсбук от вмешательства извне и от смены руководства на более компетентное в вопросах безопасности

Ответить
1

Комментарий удален по просьбе пользователя

Ответить
1

Ещё раз, юзерам похуй на эту новость они даже не поняли ничего, а те кто поняли не могут просто сделать петицию и уволить цукерберга

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
1

Ответственные посты должны занимать компетентные люди а не везунчики вовремя вставшие в тапки. Руководитель фейсбука не должен получать миллионы и тогда не будет смысла на эту должность рваться и чемто там злоупотреблять

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
5

Почему это говно ещё существует?

Ответить
1

Потому что там два миллиарда пользователей. Сетевой эффект

Ответить
4

Николай, на всякий случай: термин plain text имеет русскоязычный аналог "в открытом виде". "Открытый текст" это безграмотный перевод.

Ответить
1

А я думал, это у нас в Озоне пипец с паролями

Ответить

Задний нос

Пётр
4

В Озоне пипец не только с паролями.

Ответить
2

По последним новостям, ощущение, что вообще везде пиздец с паролями. Хотя казалось бы, в первую очередь это должны постоянно контролировать.

Ответить
1

Комментарий удален по просьбе пользователя

Ответить

Экономический мангал

1

Комментарий удален по просьбе пользователя

Ответить
1

Удивительно, просто невероятно. Как же так получилось?! Этого не может быть!

Ответить
1

Пиздецберг

Ответить
1

были видны как минимум 20 тысячам сотрудников

ну это уже совсем ахуеть

Ответить
1

есть один замечательный сервис в Москве, принадлижайший мейлу, которым пользуются очень многие для заказа еды в офис или домой ;) лет 5 назад была найдена sqlinj в ios приложении и была слита база, в таблице пользователей было 2 интересных поля. password с md5 хэшем пароля и password_plai, ну вы поняли.

Ответить
0

Николай, на всякий случай: слово "благодаря" используют, как положительную причину события. Уместнее использовать: "из-за", "по причине", "вследствие".

Ответить
Обсуждаемое
Дизайн и архитектура
Личный опыт в промышленном дизайне
В данной статье я намерен осветить свой опыт в области промышленного дизайна с указанием на типичные, на мой взгляд, ошибки, которые дизайнер может совершить в этой сфере.
Интернет
В TikTok показали норвежскую клинику: с роботами, медицинской одеждой из терминалов и футуристичной отправкой лекарств
В соцсети больницу называют «другим миром» и сокрушаются об уровне медицины в своих странах.
Новости
Россия признала угрозой нацбезопасности легализацию каннабиса и пропаганду употребления наркотиков в интернете
Власти ожидают, что оценка наркоситуации в стране к 2030 году должна перейти из «напряжённой» в «нейтральную».
Популярное за три дня
Новости
В Амурской области пенсионер десять лет рисовал новогодние открытки на льду реки. После его смерти традицию продолжили
Местные жители называли одинокого пенсионера «дедом Валерием», а он хотел «делать что-то прекрасное».
Интернет
Минчанка рисует мемы для белорусских политзаключённых, находящихся в СИЗО без интернета
Всё для того, чтобы поднять им настроение.
Наука
Ключи от шкатулки Пандоры: нулевой пациент Эболы
Погибли тысячи людей, были потрачены миллиарды долларов, ВОЗ неоднократно предупреждала мир о возможности глобальной пандемии. Невероятными усилиями вспышки останавливали каждый раз, привлекали военных, врачей со всего земного шара. Разворачивались операции по спасению мира с десантом и оцеплением в десятки километров. Сегодня в разработке…

Комментарии

null