Hlavní navigace

Facebook roky ukládal hesla stovek milionů uživatelů v čitelné podobě. Prý neúmyslně

Sdílet

David Slížek 21. 3. 2019

Tohle o žádném provozovateli služby, na které máte účet, slyšet nechcete. Facebook řadu let ukládal v interních databázích hesla stovek milionů svých uživatelů v čitelné podobě (plaintextu). K datům měly potenciální přístup desítky tisíc firemních vývojářů. Informoval o tom uznávaný bezpečnostní expert Brian Krebs a Facebook to posléze potvrdil na svém blogu.

Podle Krebsových informací Facebook interně vyšetřuje, jak se to mohlo stát. Zaměstnanci Facebooku patrně řadu let udržovali pracovní aplikace, které zaznamenávaly kromě jiných dat také nešifrovaná hesla uživatelů a ukládaly je na interních serverech. V čitelné podobě na nich nakonec byla uložena hesla 200 až 600 milionů uživatelů, píše Krebs s odvoláním na svůj zdroj ve Facebooku.

Interní šetření zatím přišlo na soubory dat obsahující hesla datované až do roku 2012. Potenciální přístup k heslům mělo všech asi 20 tisíc zaměstnanců Facebooku, přístupové logy ale zatím ukazují, že s daty nějakým způsobem pracovaly „jen“ asi 2 tisíce vývojářů, kteří na datové soubory obsahující čitelná hesla uskutečnili přibližně 9 milionů dotazů.

Podle Facebooku nebyla hesla do datových souborů uložena úmyslně. Zatím se prý také neprokázalo, že by někdo data zneužil, nebo že by v datech úmyslně vyhledával právě hesla. Firma na problém přišla letos v lednu, kdy si logování hesel všimli bezpečnostní pracovníci Facebooku.

Facebook se podle Krebse chystá o incidentu informovat dotčené uživatele. Má jít o stovky milionů uživatelů aplikace Facebook Light (odlehčené verze mobilní aplikace pro regiony se slabou konektivitou), desítky milionů dalších uživatelů Facebooku a desítky tisíc uživatelů Instagramu.

Sstandardně Facebook pro ukládání hesel svých uživatelů používá hashovací algoritmus scrypt.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 21. 3. 2019 19:36

    vdx

    Haha, tak třeba taková pražská Lítačka to tak má, heslo vidíte ve svém profilu a ještě vám ho i krásně pošlou i mailem...
    A podobných služeb, které staví ignoranti, je všude ještě spousta. Dokud se striktně nebude vyžadovat bezpečnost a padat pokuty.

  • 21. 3. 2019 19:37

    Filip Jirsák

    Hlavně se teď všichni tvařme, že je úplně normální, že heslo v otevřeném tvaru opustí chráněnou část prohlížeče a dostane se do webové stránky a odtud na server. Tvařme se, že to jiným způsobem v žádném případě vyřešit nelze. Vždyť se přece nemůže stát, že by provozovatel ta hesla špatně zabezpečil, nebo že by je dokonce jenom omylem logoval.
    Teď zhasneme, Facebook si ty hesla zahashuje, a budeme se tvářit, jako že se nic takového nikdy nestalo. Ne aby někoho napadlo o tom mluvit dřív, než zase za několik týdnů, v souvislosti s dalším velkým únikem*) hesel. Bazinga!

    *) I únik mezi desítky tisíc interních vývojářů je pořád únik.

  • 21. 3. 2019 23:26

    ...

    tady to spíše vypadá (i podle naznačování na blogu), že heslo se objevilo nedopatřením v jiném než anonymizovaném atributu při doplnění nějaké podružné funkce v logách, ty pak byly uloženy automaticky v databázi a vytvářeny z nich grafy.

    Lítačka to dělá úmyslně s heslem, bych řekl, že to je jiné.

    Tenhle problém se stal bohužel i u řady českých velkých webů, kdy heslo se díky přítomnosti v logách dostalo, tam kam nemá. Někdy stačí maličkost, např. přidat funkci na možnost zobrazení hesla v inputu místo hvězdiček a zároveň logovat vstupy do všech inputů pro marketing a UX, spojení těhle dvou věcí znamená únik hesel tam kam nepatří.

  • 22. 3. 2019 15:44

    bez přezdívky

    Mohu poprosit, kde přesně? Přihlásil jsem se na web lítačky, ale s veškerou snahou to heslo nemohu najít. Díky předem za odpověď.