Серията от проблеми на Facebook да защити личните данни на потребителите са толкова много през последната година, че всеки следващ масивен гаф генерира все по-малко изненада.
Последната новина около социалната мрежа обаче отново повдига сериозни въпросителни за способността на мрежата да спазва ангажиментите си към личното пространство на профилите.
В четвъртък Facebook призна, че бъг в системата за управление на паролите е довел до това, че данните за достъп до стотици милиони профили във Facebook и Instagram са съхранявани в plaintext-формат във вътрешните им сървъри.
Това означава, че всеки от служителите на социалната мрежа е можел да попадне (по случайност) на тях и да ги ползва за нерегламентиран достъп до профилите на потребителите. Този факт беше разкрит първо в сайта Krebs on Security на журналиста Брайън Кребс, като малко по-късно бе потвърдено официално от компанията.
Целта на криптираното съхранение на паролите е да се възпрепятства - доколкото е възможно - кражбата на лични данни. Дори някой да пробие сървъра на въпросната организация, няма да може да разчете паролите директно, а дешифрирането им може да се окаже невъзможно и за компютър.
Поради факта, че Facebook е глобална компания с над 2 милиарда потребители, тя е изключително примамлива цел за хакерски групи. Това е и причината да инвестира солидни средства, за да не допуска уязвимости или подвеждане под отговорност.
Въпреки всички усилия в тази посока, обаче, се оказва, че е оставен отворен прозорец, който обезсмисля дори най-сложните системи за сигурност.
Вицепрезидентът на Facebook Педро Канахуати, който отговаря за сигурността на личните данни, пише, че бъгът е открит "като част от рутинна проверка през януари". Установено е, че "някои потребителски пароли се съхраняват в четим формат във вътрешните ни сървъри".
"Системите ни за логин са създадени така, че да маскират паролите чрез техники, които ги правят неразчитаеми. Нека да подчертаем: тези пароли никога не са били видими за хора извън Facebook и за момента не сме открили доказателства, че някой вътрешно е злоупотребявал или е достъпвал до тях без разрешение", се казва в съобщението.
Facebook вече е поправил слабостта, като компанията ще започне да уведомява засегнатите потребители за това, че профилите им са били изложени на потенциална опасност. Според информацията - най-голям брой от тях са ползватели на мобилното приложение Facebook Lite (в размер на стотици милиони души). Няколко десетки милиони са засегнатите потребители от Facebook, a тези от Instagram са в обхват на десетки хиляди. Самите социални мрежи няма да анулират компрометираните пароли - този избор е оставен на отделните хора.
Това не е първият случай, в който потребителски пароли от Facebook се оказват в несигурни ръце.
През септември компанията призна за пробив, при който хакери бяха откраднали данни от 30 милиона профила, получавайки достъп до тях през токените за влизане - маркери за потвърждение на самоличността, които се генерират при влизането на потребител в социалната мрежа.
Този пробив е помогнал косвено на Facebook да разкрие съхранението на паролите в plaintext-формат и да установи причината, поради която се е появила уязвимостта.
"В хода на проверката разглеждахме всички процедури, по които съхраняваме определени категории информация и поправихме проблемите в момента, в който попадахме на тях", се казва в съобщението.
Засегнатите пароли не са съхранявани на едно и също място, а проблемът не е в резултат на един конкретен бъг в системата на платформата. Паролите са запазвани като текст през няколко различни вътрешни процеси и системи за съхранение на архивни данни, например логовете за технически срив на приложения. Някои от тези архиви са датирали от 2012 г., което повдига въпроса защо Facebook пази толкова дълго логове, съдържащи чувствителна информация - и защо компанията не е подозирала за съдържанието им.
Фрагментираното разположение на архивите е затруднило екипа да разбере какво точно се е случило и да вземе мерки за поправянето на проблема. С това Facebook обяснява защо близо 2 месеца е пазила в тайна информацията за уязвимостта.
Специалистът по киберсигурност Кен Уайт коментира пред Wired, че Facebook има отговорност да пази debug-архивите си и да проверява съдържанието им. "В някакъв смисъл, това е най-чувствителната информация, с която разполагат, защото е четима и неподредена".
Twitter се сблъска с доста подобен бъг през май 2018 г., като отново не накара потребителите да си променят паролите, защото нямало данни с тях да е злоупотребявано.
Но дори да не получите нотификация от Facebook, би било добре да вземете превантивни мерки. Никога не се знае каква "изненада" ще ви сервира социалната мрежа в следващите няколко седмици.
