Facebook хранил миллионы паролей как обычный текст. В течение нескольких лет их могли увидеть тысячи сотрудников Материал редакции

В компании это признали.

Facebook несколько лет хранил миллионы паролей пользователей в виде обычного текста. Благодаря этому к ним имели доступ тысячи сотрудников компании. Об этом сообщил специалист по кибербезопасности Брайан Кребс (Brian Krebs), в соцсети подтвердили информацию.

  • Из-за внутренних сбоев в Facebook не работали приложения, которые должны были шифровать пароли для защиты от утечки. Благодаря этому комбинации пользователей находились в текстовом виде и были видны как минимум 20 тысячам сотрудников;
  • Источник в соцсети рассказал, что проблема коснулась от 200 до 600 миллионов пользователей. Расследование внутри компании продолжается с января, однако до сих пор не удалось выяснить масштаб утечки. Некоторые данные датированы 2012 годом;
  • В заявлении Facebook указано, что ни один из паролей не был украден или показан кому-то, кроме сотрудников. Вице-президент по безопасности соцсети подтвердил, что проблема коснулась «сотен миллионов пользователей Facebook Lite, десятков миллионов других пользователей Facebook и десятков тысяч пользователей Instagram»;
  • По информации источника, около двух тысяч инженеров или разработчиков сделали не менее девяти миллионов внутренних запросов о паролях. С какой целью — неизвестно;
  • «Мы исправили эту проблему, а в качестве мер предосторожности предупредим всех, чьи пароли мы нашли в открытом виде», — заявили в Facebook.

За последний год это не первая уязвимость в безопасности Facebook. 28 сентября компания заявила о том, что обнаружила уязвимость, через которую хакеры могли завладеть ключами доступа к 90 миллионам страниц пользователей. В октябре соцсеть призналась, что злоумышленники получили номера телефонов и электронные адреса 30 миллионов человек. В декабре выяснилось, что также Facebook передавал ИТ-компаниям расширенные данные пользователей, в том числе доступ к личным сообщениям.

{ "author_name": "Николай Чумаков", "author_type": "editor", "tags": ["\u0443\u0442\u0435\u0447\u043a\u0438","\u043f\u0430\u0440\u043e\u043b\u0438","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c","facebook"], "comments": 67, "likes": 76, "favorites": 2, "is_advertisement": false, "subsite_label": "internet", "id": 90978, "is_wide": true, "is_ugc": false, "date": "Thu, 21 Mar 2019 19:14:53 +0300", "is_special": false }
0
{ "id": 90978, "author_id": 98420, "diff_limit": 1000, "urls": {"diff":"\/comments\/90978\/get","add":"\/comments\/90978\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/90978"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 214343, "last_count_and_date": null }
67 комментариев
Популярные
По порядку
Написать комментарий...
67

ни один из паролей не был украден или показан кому-то, кроме сотрудников.

Ответить
30

Если такая шляпа происходит в фейсбуке, то в вк пароли, должно быть, выписаны на стикерах и расклеены по всему офису

Ответить
19

Комментарий удален по просьбе пользователя

Ответить
6

Ну типо в Америке работают лучшие умы мира, и если там допускается такой косяк, то что же происходит в остальном мире

Ответить
47

*лучшие индусы мира

Ответить
0

Там еще и россияне есть

Ответить
3

россиян там нет, там русские.

Ответить
0

Звучит оскорбительно по отношению к людям других национальностей с гражданством РФ

Ответить
0

Ну так напиши заявление в полицию и его посадят

Ответить
0

У нас тоже индусы, просто свои собственные

Ответить
10

Такой ламповый оффлайновый способ хранения безопаснее чем в тхт.

Ответить
1

Стикеры безопаснее текста, к которому можно получить доступ через интернет

Ответить
17

Ничего своего придумать не могут! ВК еще 10 лет назад хранил пароли в открытом виде

Ответить
1

Зочем их вообще хранить?🤷‍♀️ Только лишняя нагрузка

Ответить
32

Вот именно, нужно только логины хранить. А пароль чтоб любой подходил

Ответить
0

Та не, я серьёзно спрашиваю ( я не пониматб

Ответить
0

Сервер должен знать какой у тебя пароль, чтобы было с чем сравнивать. Другое дело, что пароль в чистом виде храниться не должен – он зашифрован.

Ответить
7

Нормальные компании не хранят пароли вообще ни в каком виде, даже в зашифрованном. Для каждого юзера при регистрации нужно просто пилить свою соль и брать от этого добра хэш. Готово, компания не знает пароли до тех пор, пока в SHA256/BLAKE2 нельзя будет перебирать коллизии достаточно быстро и эффективно.

Ответить
0

Это шутка такая?

Ответить
1

Где ты увидел намек на шутку?

Ответить
–2

А как будет происходить авторизация юзера, если пароль не будет храниться вот совсем никак-никак? По одному только логину?
Так или иначе пароль будет храниться, просто он будет не в зашифрованном виде открыто лежать, а более сложно. Но он всё ещё нужен, и всё ещё хранится (в некотором смысле).

Ответить
5

Ох, учи матчасть. Сервер нигде не хранит пароль. Сервер хранит хэш, взятый от пароля и соли. Превратить хэш в пароль невозможно, операция хэширования необратима. Зато превратить пароль и соль в равный хэш — пожалуйста. Это происходит каждый раз при авторизации на нормальных сайтах.

Ответить
2

Да, я это все знаю. Но почему-то думал, что это тоже считается шифрованием. А оказалось, что при шифровании возможность расшифровки назад обязательна. Сорян.

Ответить
0

Ну я вощем это и имел в виду

Ответить
0

Я ж говорила что ты умничка )

Ответить
2

Возможно даже сегодня ты узнаешь, что такое хэш!

Ответить
5

... и соль

Ответить
5

Обязательно

Ответить
0

Он на ксанаксе сидел

Ответить
2

Но при этом известный специалист по солям

Ответить
1

Комментарий удален по просьбе пользователя

Ответить
2

Давай не будем пугать девочку

Ответить
0

А то будут ещё кошмары ночью сниться. Раз два, хэш зашифрует тебя

Ответить
0

шифрование и хэширование - немного разные вещи

Ответить
0

Для нетехнаря это почти одно и тоже

Ответить
0

Та не, я просто тупанула. Сори

Ответить
1

Не самый удачный год выдался для Цукерберга

Ответить
26

2017? 2018 или 2019?

Ответить
20

Каждый год

Ответить
–2

Всем похуй, те чьи пароли утекли даже не понимают о чём эта новость, а те кто понимают не могут закрыть фейсбук и уволить его руководство за некомпетентность потому что капитализм и частная собственность атата

Ответить
2

Если от туда все уйдут он развалится. Так и работает капитализм

Ответить
6

Я же говорю, никто не понял о чём новость даже, никто оттуда не уйдёт, а те кто понимают какой это пиздец не имеют никакой власти

Ответить
0

Я думаю люди не дураки в большинстве своём и понимают все. Другое конечно дело что им все равно, а это грустно

Ответить
1

К сожалению ты ошибаешься. Большинство людей это макаки с IQ в районе 80.

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
1

Капитализм защищает фейсбук от вмешательства извне и от смены руководства на более компетентное в вопросах безопасности

Ответить
1

Комментарий удален по просьбе пользователя

Ответить
1

Ещё раз, юзерам похуй на эту новость они даже не поняли ничего, а те кто поняли не могут просто сделать петицию и уволить цукерберга

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
1

Ответственные посты должны занимать компетентные люди а не везунчики вовремя вставшие в тапки. Руководитель фейсбука не должен получать миллионы и тогда не будет смысла на эту должность рваться и чемто там злоупотреблять

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
5

Почему это говно ещё существует?

Ответить
1

Потому что там два миллиарда пользователей. Сетевой эффект

Ответить
4

Николай, на всякий случай: термин plain text имеет русскоязычный аналог "в открытом виде". "Открытый текст" это безграмотный перевод.

Ответить
1

А я думал, это у нас в Озоне пипец с паролями

Ответить
4

В Озоне пипец не только с паролями.

Ответить
2

По последним новостям, ощущение, что вообще везде пиздец с паролями. Хотя казалось бы, в первую очередь это должны постоянно контролировать.

Ответить
1

Комментарий удален по просьбе пользователя

Ответить
1

Никогда такого не было, но вот опять.

Ответить
1

Удивительно, просто невероятно. Как же так получилось?! Этого не может быть!

Ответить
1

Пиздецберг

Ответить
1

были видны как минимум 20 тысячам сотрудников

ну это уже совсем ахуеть

Ответить
1

есть один замечательный сервис в Москве, принадлижайший мейлу, которым пользуются очень многие для заказа еды в офис или домой ;) лет 5 назад была найдена sqlinj в ios приложении и была слита база, в таблице пользователей было 2 интересных поля. password с md5 хэшем пароля и password_plai, ну вы поняли.

Ответить
0

Николай, на всякий случай: слово "благодаря" используют, как положительную причину события. Уместнее использовать: "из-за", "по причине", "вследствие".

Ответить
Обсуждаемое
Новости
В Екатеринбурге началось голосование за площадку для строительства храма святой Екатерины
Горожан, желающих проголосовать, очень много.
Интернет и мемы
Российская блогерша призвала жертвовать жизнью животных на дорогах ради спасения человека. В соцсетях ответили угрозами
Лера Любарская признала высказывание «некорректным» и подчеркнула, что не понимает тех, кто «поддерживает травлю».
Новости
Сына красноярского депутата с другом заподозрили в избиении человека до смерти. Жители города призвали к народному сходу
Избитый молодой человек 22 дня провёл в коме, спасти его не удалось.
Популярное за три дня
Разборы
Как работает розничный магазин, и что можно и нельзя делать продавцу и покупателю
Рассказывает сотрудник московского магазина электроники.
Новости
На Change.org опубликовали петицию против Вечернего Мудозвона
Автор петиции, священник-эмигрант из России отец Сергий, просит итальянские власти не предоставлять гражданство Владимиру Соловьёву. По его мнению, Соловьёв рассчитывает получить итальянский паспорт.
Истории
Жизнь на Донбассе во время войны глазами одного человека
Первая часть рассказа жителя Горловки, которая начинается с митингов в Киеве и продолжается полномасштабной войной.

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "fizc" } } }, { "id": 4, "label": "Article Branding", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "cfovy", "p2": "glug" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfk" } } }, { "id": 6, "disable": true, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byswn", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "cndo", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223677-0", "render_to": "inpage_VI-223677-0-130073047", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=cndo&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Баннер в ленте на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudv", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "ccydt", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvc" } } }, { "id": 20, "label": "Кнопка в сайдбаре", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "chfbk", "p2": "gnwc" } } } ]