Stotine miliona lozinki na „Fejsbuku“ potpuno nezaštićeno

Kompanija je priznala da je greškom uskladištila lozinke bez zaštite, ali tvrdi da nema nagoveštaja da je došlo do zloupotrebe iako je rizik bio ogroman. Društvena mreža „Fejsbuk“ je priznala da je greškom skladištila stotine miliona lozinki u običnom tekstualnom obliku, dakle bez bilo kakve šifrovane zaštite. Nadležni u kompaniji su to primetili u januaru, ali poznato je da greška postoji još od 2012. godine. Greška, zbog koje su korisničke lozinke bile čuvane na kompanijinim internim serverima bez bilo kakve zaštite, pogodila je stotine miliona korisnika verzije Lite, desetine miliona drugih korisnika društvene mreže kao i desetine hiljada korisnika Instagram -a, kako se navodi na sajtu društvene mreže. Verzija Lite je napravljena za korisnike koji žive u zemljama u kojima mobilni podaci nisu pristupačni или su na bio koji drugi način nedostupni.

U izjavi koju je dao potpredsednik za inženjerstvo, bezbednost i privatnost Pedro Kanahuati navodi se da nisu pronađeni dokazi da je bilo ko iznutra neovlašćeno pristupio lozinkama, niti da ih je zloupotrebio jer one nisu bile vidljive nikom van kompanije. Korisnici čije su lozinke bile otkrivene biće blagovremeno obavešteni o tome.

Ipak, postojala je ogromna opasnost da bi neko mogao da zloupotrebi takvu grešku. Prema rečima izveštača Brajana Krebsa, koji je citirao jednog od zaposlenih u „Fejsbuku“, „zapisi o prijavljivanju pokazuju da je oko 2.000 inženjera или programera napravilo skoro devet miliona internih upita za elemente podataka koji su sadržavali korisničke lozinke u tekstualnom obliku“.

Najbolja procedura za zaštitu bezbednosti lozinki obuhvata nekoliko mera predostrožnosti da bi se onemogućilo korišćenje ukradenih lozinki u slučaju da kompanija bude hakovana. Lozinke bi trebalo da budu „hešovane“, što predstavlja jednosmerni proces koji svaku lozinku pretvara u jedinstveni „heš“, idealno „posoljen“, obezbeđujući na taj način da čak i dve identične lozinke stvaraju različite „hešove“. „Fejsbuk“ uobičajeno koristi takvu proceduru, ali u slučaju o kome govorimo napravljen je ozbiljan propust. Kanahuati kaže da je kompanija rešila pomenuti problem, ali i ostale probleme koje je otkrila u drugim bezbednosnim svojstvima, kao što je kod pomoću kog se korisnici prijavljuju preko drugih aplikacija.

Iz kancelarije poverenika za informacije stiže upozorenje kompanijama: Ne skladištite lozinke u obliku običnog teksta – proverite da li ste upotrebili odgovarajući heš algoritam или neki drugi mehanizam koji nudi isti nivo zaštite protiv napadača koji traži originalnu lozinku. Trebalo bi, takođe, da obezbedite da arhitektura oko vašeg sistema lozinki ne dozvoli bilo kakvo curenje informacija u obliku običnog teksta.“ Instrukcije se odnose na istu vrstu greške koju je napravila kompanija Fejsbuk i priznala je u četvrtak.

Kancelarija nije odredila novčanu kaznu za nesavesno skladištenje lozinki, iako je navela nebezbedno skladištenje kao otežavajući faktor kad je kažnjavala mnogo ozbiljnije prekršaje upada u podatke.

5287-stotine-miliona-lozinki-na-fejsbuku-potpuno-nezasticeno