Facebook хранил миллионы паролей как обычный текст. В течение нескольких лет их могли увидеть тысячи сотрудников Материал редакции

В компании это признали.

Facebook несколько лет хранил миллионы паролей пользователей в виде обычного текста. Благодаря этому к ним имели доступ тысячи сотрудников компании. Об этом сообщил специалист по кибербезопасности Брайан Кребс (Brian Krebs), в соцсети подтвердили информацию.

  • Из-за внутренних сбоев в Facebook не работали приложения, которые должны были шифровать пароли для защиты от утечки. Благодаря этому комбинации пользователей находились в текстовом виде и были видны как минимум 20 тысячам сотрудников;
  • Источник в соцсети рассказал, что проблема коснулась от 200 до 600 миллионов пользователей. Расследование внутри компании продолжается с января, однако до сих пор не удалось выяснить масштаб утечки. Некоторые данные датированы 2012 годом;
  • В заявлении Facebook указано, что ни один из паролей не был украден или показан кому-то, кроме сотрудников. Вице-президент по безопасности соцсети подтвердил, что проблема коснулась «сотен миллионов пользователей Facebook Lite, десятков миллионов других пользователей Facebook и десятков тысяч пользователей Instagram»;
  • По информации источника, около двух тысяч инженеров или разработчиков сделали не менее девяти миллионов внутренних запросов о паролях. С какой целью — неизвестно;
  • «Мы исправили эту проблему, а в качестве мер предосторожности предупредим всех, чьи пароли мы нашли в открытом виде», — заявили в Facebook.

За последний год это не первая уязвимость в безопасности Facebook. 28 сентября компания заявила о том, что обнаружила уязвимость, через которую хакеры могли завладеть ключами доступа к 90 миллионам страниц пользователей. В октябре соцсеть призналась, что злоумышленники получили номера телефонов и электронные адреса 30 миллионов человек. В декабре выяснилось, что также Facebook передавал ИТ-компаниям расширенные данные пользователей, в том числе доступ к личным сообщениям.

{ "author_name": "Николай Чумаков", "author_type": "editor", "tags": ["\u0443\u0442\u0435\u0447\u043a\u0438","\u043f\u0430\u0440\u043e\u043b\u0438","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c","facebook"], "comments": 67, "likes": 76, "favorites": 2, "is_advertisement": false, "subsite_label": "internet", "id": 90978, "is_wide": true, "is_ugc": false, "date": "Thu, 21 Mar 2019 19:14:53 +0300", "is_special": false }
0
{ "id": 90978, "author_id": 98420, "diff_limit": 1000, "urls": {"diff":"\/comments\/90978\/get","add":"\/comments\/90978\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/90978"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 214343, "last_count_and_date": null }
67 комментариев
Популярные
По порядку
Написать комментарий...
67

ни один из паролей не был украден или показан кому-то, кроме сотрудников.

Ответить
30

Если такая шляпа происходит в фейсбуке, то в вк пароли, должно быть, выписаны на стикерах и расклеены по всему офису

Ответить
19

Комментарий удален по просьбе пользователя

Ответить
6

Ну типо в Америке работают лучшие умы мира, и если там допускается такой косяк, то что же происходит в остальном мире

Ответить
47

*лучшие индусы мира

Ответить
0

Там еще и россияне есть

Ответить
3

россиян там нет, там русские.

Ответить
0

Звучит оскорбительно по отношению к людям других национальностей с гражданством РФ

Ответить
0

Ну так напиши заявление в полицию и его посадят

Ответить
0

У нас тоже индусы, просто свои собственные

Ответить
10

Такой ламповый оффлайновый способ хранения безопаснее чем в тхт.

Ответить
1

Стикеры безопаснее текста, к которому можно получить доступ через интернет

Ответить
17

Ничего своего придумать не могут! ВК еще 10 лет назад хранил пароли в открытом виде

Ответить
1

Зочем их вообще хранить?🤷‍♀️ Только лишняя нагрузка

Ответить
32

Вот именно, нужно только логины хранить. А пароль чтоб любой подходил

Ответить
0

Та не, я серьёзно спрашиваю ( я не пониматб

Ответить
0

Сервер должен знать какой у тебя пароль, чтобы было с чем сравнивать. Другое дело, что пароль в чистом виде храниться не должен – он зашифрован.

Ответить
7

Нормальные компании не хранят пароли вообще ни в каком виде, даже в зашифрованном. Для каждого юзера при регистрации нужно просто пилить свою соль и брать от этого добра хэш. Готово, компания не знает пароли до тех пор, пока в SHA256/BLAKE2 нельзя будет перебирать коллизии достаточно быстро и эффективно.

Ответить
0

Это шутка такая?

Ответить
1

Где ты увидел намек на шутку?

Ответить
–2

А как будет происходить авторизация юзера, если пароль не будет храниться вот совсем никак-никак? По одному только логину?
Так или иначе пароль будет храниться, просто он будет не в зашифрованном виде открыто лежать, а более сложно. Но он всё ещё нужен, и всё ещё хранится (в некотором смысле).

Ответить
5

Ох, учи матчасть. Сервер нигде не хранит пароль. Сервер хранит хэш, взятый от пароля и соли. Превратить хэш в пароль невозможно, операция хэширования необратима. Зато превратить пароль и соль в равный хэш — пожалуйста. Это происходит каждый раз при авторизации на нормальных сайтах.

Ответить
2

Да, я это все знаю. Но почему-то думал, что это тоже считается шифрованием. А оказалось, что при шифровании возможность расшифровки назад обязательна. Сорян.

Ответить
0

Ну я вощем это и имел в виду

Ответить
0

Я ж говорила что ты умничка )

Ответить
2

Возможно даже сегодня ты узнаешь, что такое хэш!

Ответить
5

... и соль

Ответить
5

Обязательно

Ответить
0

Он на ксанаксе сидел

Ответить
2

Но при этом известный специалист по солям

Ответить
1

Комментарий удален по просьбе пользователя

Ответить
2

Давай не будем пугать девочку

Ответить
0

А то будут ещё кошмары ночью сниться. Раз два, хэш зашифрует тебя

Ответить
0

шифрование и хэширование - немного разные вещи

Ответить
0

Для нетехнаря это почти одно и тоже

Ответить
0

Пуганные ужо

Ответить
0

Та не, я просто тупанула. Сори

Ответить
1

Не самый удачный год выдался для Цукерберга

Ответить
26

2017? 2018 или 2019?

Ответить
20

Каждый год

Ответить
–2

Всем похуй, те чьи пароли утекли даже не понимают о чём эта новость, а те кто понимают не могут закрыть фейсбук и уволить его руководство за некомпетентность потому что капитализм и частная собственность атата

Ответить
2

Если от туда все уйдут он развалится. Так и работает капитализм

Ответить
6

Я же говорю, никто не понял о чём новость даже, никто оттуда не уйдёт, а те кто понимают какой это пиздец не имеют никакой власти

Ответить
0

Я думаю люди не дураки в большинстве своём и понимают все. Другое конечно дело что им все равно, а это грустно

Ответить
1

К сожалению ты ошибаешься. Большинство людей это макаки с IQ в районе 80.

Ответить
0

Ну может быть 🤷‍♀️

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
1

Капитализм защищает фейсбук от вмешательства извне и от смены руководства на более компетентное в вопросах безопасности

Ответить
1

Комментарий удален по просьбе пользователя

Ответить
1

Ещё раз, юзерам похуй на эту новость они даже не поняли ничего, а те кто поняли не могут просто сделать петицию и уволить цукерберга

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
1

Ответственные посты должны занимать компетентные люди а не везунчики вовремя вставшие в тапки. Руководитель фейсбука не должен получать миллионы и тогда не будет смысла на эту должность рваться и чемто там злоупотреблять

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
5

Почему это говно ещё существует?

Ответить
1

Потому что там два миллиарда пользователей. Сетевой эффект

Ответить
4

Николай, на всякий случай: термин plain text имеет русскоязычный аналог "в открытом виде". "Открытый текст" это безграмотный перевод.

Ответить
1

А я думал, это у нас в Озоне пипец с паролями

Ответить
4

В Озоне пипец не только с паролями.

Ответить
2

По последним новостям, ощущение, что вообще везде пиздец с паролями. Хотя казалось бы, в первую очередь это должны постоянно контролировать.

Ответить
1

Комментарий удален по просьбе пользователя

Ответить
1

Никогда такого не было, но вот опять.

Ответить
1

Удивительно, просто невероятно. Как же так получилось?! Этого не может быть!

Ответить
1

Пиздецберг

Ответить
1

были видны как минимум 20 тысячам сотрудников

ну это уже совсем ахуеть

Ответить
1

есть один замечательный сервис в Москве, принадлижайший мейлу, которым пользуются очень многие для заказа еды в офис или домой ;) лет 5 назад была найдена sqlinj в ios приложении и была слита база, в таблице пользователей было 2 интересных поля. password с md5 хэшем пароля и password_plai, ну вы поняли.

Ответить
0

Николай, на всякий случай: слово "благодаря" используют, как положительную причину события. Уместнее использовать: "из-за", "по причине", "вследствие".

Ответить
Обсуждаемое
Новости
Rambler через суд потребовал заблокировать Twitch и выплатить рекордные 180 млрд рублей за «пиратские» трансляции
Twitch называет требования компании несправедливыми.
Новости
На «России 1» вырезали слово «протесты» из песни «Би-2»
«Если чуть светлей проспекты. И нежней ********».
Музыка
От Ланы Дель Рей до Tool: 20 важных альбомов десятилетия по версии редакции и пользователей TJ
Возможно, самый субъективный топ среди всех рейтингов.
Популярное за три дня
Разборы
Rambler хочет получить права на веб-сервер Nginx, созданный сотрудником 15 лет назад. Компания считает это рэкетом
Почему это важно и какое окажет влияние на российский IT-рынок.
Новости
Rambler через суд потребовал заблокировать Twitch и выплатить рекордные 180 млрд рублей за «пиратские» трансляции
Twitch называет требования компании несправедливыми.
Технологии
Rambler скрывает в своих выдачах новости о nginx
Так, в агрегаторе новостей «Rambler/Новости» последнее упоминание nginx датируется мартовской новостью о покупке компании, а через «Rambler/Поиск» отображаются только 2 статьи, одна из которых была опубликована полчаса назад.

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "fizc" } } }, { "id": 4, "label": "Article Branding", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "cfovy", "p2": "glug" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfk" } } }, { "id": 6, "disable": true, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byswn", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "cndo", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223677-0", "render_to": "inpage_VI-223677-0-130073047", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=cndo&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Баннер в ленте на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudv", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "ccydt", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvc" } } }, { "id": 20, "label": "Кнопка в сайдбаре", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "chfbk", "p2": "gnwc" } } } ]