Aplaidumas ar visiškas žioplumas? „Facebook“ šimtus milijonų slaptažodžių saugojo nešifruoto teksto pavidalu ()
Per pastarąjį dešimtmetį „Facebook“ prisirinko gausybę duomenų apie šio socialinio tinklo naudotojus – jų asmeninius santykius, politines pažiūras ir netgi telefoninių skambučių išklotines. Jau vien tai atrodo per daug. Bet visai neseniai išaiškėjo, kad „Facebook“ turi kur kas daugiau: šios bendrovės serveriuose nešifruotu pavidalu buvo saugomi šimtai milijonų prisijungimo duomenų rinkinių, prie kurių prieigą gauti galėjo praktiškai bet kuris „Facebook“ darbuotojas, rašo „Ars Technica“.
Prisijunk prie technologijos.lt komandos!
Laisvas grafikas, uždarbis, daug įdomių veiklų. Patirtis nebūtina, reikia tik entuziazmo.
Sudomino? Užpildyk šią anketą!
Kibernetinio saugumo analitikas Biranas Krebsas savo interneto svetainėje paskelbė, kad įvairios pačių „Facebook“ darbuotojų programėlės vartotojų prisijungimo duomenis įmonės serveriuose išsaugodavo nešifruoto teksto pavidalu. Paiešką šiuose duomenyse yra atlikę apie 2000 feisbuko inžinierių ir programėlių kūrėjų, iš viso įvykdyta daugiau nei 9 mln. atskirų paieškų – tokius duomenis B. Krebsui atskleidė vienas aukšto lygio „Facebook“ darbuotojas, paprašęs išsaugoti jo anonimiškumą, nes jis neturėjo oficialaus leidimo šiuo klausimu bendrauti su žiniasklaida.
„Facebook“ viceprezidentas inžinerijos, saugumo ir privatumo reikalams Pedro Canahuati įmonės tinklaraštyje parašė, kad nešifruotų slaptažodžių duomenų bazė vidiniam naudojimui skirtoje duomenų saugykloje eilinio saugumo patikrinimo metu buvo rasti dar sausį.
„Tai patraukė mūsų dėmesį, nes mūsų prisijungimo sistemos yra suprojektuotos taip, kad maskuotų slaptažodžius ir šie taptų neperskaitomais. Trūkumą pašalinome ir, norėdami apsidrausti, informuosime kiekvieną asmenį, kurio slaptažodis buvo saugomas tokiu būdu“.
P. Canahuati pažymėjo, kad šie slaptažodžiai niekada nebuvo matomi jokiam asmeniui, kuris nedirbo „Facebook“ ir kad nėra jokių požymių, kurie rodytų, kad šiais duomenimis būtų pasinaudota netinkamais tikslais ar jais būtų piktnaudžiaujama. „Numatyta, kad turėsime informuoti šimtus milijonų „Facebook Lite“ naudotojų ir dešimtis milijonų kitų „Facebook“ naudotojų, taip pat – dešimtis tūkstančių „Instagram“ naudotojų“, – rašoma viceprezidento tinklaraštyje.
„Facebook Lite“ yra mobiliesiems įrenginiams skirta „Facebook“ versija, daugiausiai naudojama žmonių, gyvenančių regionuose su prasčiau išvystyta mobiliojo interneto infrastruktūra. Ši programėlė populiariausia Brazilijoje, Meksikoje, Indijoje, Indonezijoje ir Filipinuose, taip pat keliose kitose Pietų Azijos valstybėse, kur dominuoja senesnių kartų – 2G ir 3G – ryšio tinklai. Būtent šiuose regionuose pastaraisiais metais „Facebook“ naudojimas augo stipriausiai. „Lite“ versija naudoja kiek kitokią duomenų persiuntimo architektūrą, kurios pagrindas yra „proxy“ tarnybinės stotys, vykdančios didžiąją dalį programinių užduočių ir minimizuojančios į vartotojo telefoną persiunčiamų duomenų kiekį. Panašu, kad būtent dėl tokios architektūros serveryje būna vykdomos užklausos vartotojo vardu, o jų prisijungimo duomenys naudojami jungiantis prie kitų „Facebook“ paslaugų.
Nors didžioji dalis vartotojų, kurių saugumas buvo pažeistas, naudojosi „Facebook Lite“ programėle, akivaizdu, kad dalis nukentėjusiųjų buvo ir standartinio „Facebook“, ir „Instagram“ naudotojai.
Anot P. Canahuati, standartinės „Facebook“ programėlės dalis, veikianti įmonės serveriuose slaptažodžius turėtų saugoti tik vienkrypčiu būdu užšifruotu (angl. hashed) pavidalu, kurio neįmanoma ne tik perskaityti, bet ir iššifruoti. Tačiau kai kurios programėlės „Facebook“ ir „Instagram“ architektūroje, akivaizdu, veikė pagal kitokius principus. B.Krebsas nurodo, kad slaptažodžiai nešifruotu pavidalu buvo saugomi ne trumpiau nei nuo 2012 metų iki šių metų sausio, kai problema buvo aptikta. Neįvardintas B. Krebso šaltinis iš „Facebook“ nurodė, kad įmonė galimai dirbtinai sumažino nešifruotų slaptažodžių kiekį.
„Kuo giliau analizuojame šią problemą, tuo įmonės teisės skyriui patogiau dirbti su mažiausiu įmanomu galimai paveiktų klientų skaičiumi. Šiuo metu siekiama šį skaičių dar labiau sumažinti, skaičiuojant tik tuos prisijungimo duomenų rinkinius, kuriuos šiuo metu turime savo serveriuose“, – sakė jis.
P. Canahuati patarimas dėl savo saugumo susirūpinusiems naudotojams buvo standartinis:
„Galite pasikeisti savo „Facebook“ ir „Instagram“ prisijungimo slaptažodžius venkite pakartotinio slaptažodžių naudojimo prisijungimui prie skirtingų paslaugų. Pasirinkite sudėtingus ir stirpius slaptažodžius visoms savo paskyroms. Jums padėti gali slaptažodžių valdymo programėlės“.