Facebook предлагает множество преимущества и инструменты для ваших пользователейно у него также есть некоторые неопределенностиУже некоторое время в Facebook, одной из крупнейших социальных сетей в мире, обнаруживаются определённые проблемы безопасности. И поскольку, похоже, долго оставаться без скандалов не получится, были обнаружены новые проблемы.
Оказывается, собственная компания Facebook признала, что Сотни миллионов паролей хранятся в виде простого текста.Это вызвало обеспокоенность среди пользователей или, по крайней мере, среди тех, кто хоть немного разбирается в принципах работы кибербезопасности. Если вы не понимаете, что это означает или что подразумевается, читайте дальше. сохраняйте пароли в виде простого текста Мы рассказываем вам об этом, чтобы вы получили представление.
Это были пользователи facebook Lite От этой проблемы страдают несколько сотен тысяч пользователей Instagram. Возможно, вы не пользуетесь Facebook Lite, но, скорее всего, вы пользуетесь Instagram (поскольку он популярнее Facebook Lite), так что вы можете оказаться в числе пострадавших.
Простые текстовые пароли в целях безопасности
Пароли обычно Они хранятся с использованием специального шифрования., используя такие методы, как перемешивание и солениеЭто означает, что даже если кто-то гипотетически взломает серверы Facebook, он увидит лишь нераспознаваемые последовательности символов. Чтобы воспользоваться этими паролями, ему пришлось бы потратить значительные ресурсы на их расшифровку, что обычно очень сложно при соблюдении надлежащих мер безопасности.
Хранение паролей в виде открытого текста Это означает, что они хранятся в виде обычного текста, как то, что вы сейчас читаете, без какого-либо специального шифрования или защиты. Другими словами, ключ доступа отображается именно так, как его вводит пользователь, полностью читаемый, что делает эти данные весьма привлекательной целью в случае несанкционированного доступа к внутренним системам.
В самом деле, некоторые из собственных сотрудников Facebook могут получить доступ к этим паролямНам нравится думать, что если кто-то работает в такой крупной компании, как Facebook, у него не будет злонамеренных намерений или он не сможет использовать эту информацию, но кто знает. Сам факт существования такой возможности уже считается значительным риском с точки зрения защиты данных и конфиденциальности.
Согласно исследованиям безопасности, опубликованным KrebsOnSecurity и другими специализированными источниками, предполагается, что среди сотен миллионов пользователей Facebook Lite, десятков миллионов «обычных» пользователей Facebook и сотен тысяч или миллионов пользователей Instagram Им даже удалось сохранить свои пароли в читаемом формате. Более того, было отмечено, что Тысячи сотрудников смогли получить доступ к этим внутренним записям много раз на протяжении многих лет с использованием различных внутренних инструментов и приложений.
Проблему обнаружил исследователь Брайан Кребс, продемонстрировав, что незашифрованные данные паролей регистрировались и хранились на серверах компании. Первоначально он обнаружил это в ходе проверки безопасности, но затем, изучив вопрос более подробно, обнаружил аналогичную практику, которая, по всей видимости, действовала уже несколько лет. Это, несомненно, вызывает беспокойство, поскольку раскрывает… отсутствие контроля и хороших практик обеспечения безопасности в сервисе, который обрабатывает такие конфиденциальные данные, как учетные данные для входа в социальные сети.
Как отреагировал Facebook и что говорит компания
Facebook публично признал это, но утверждает, что преуменьшил проблему и исправил уязвимость безопасности во внутренних системах хранения данных. Социальная сеть утверждает, что эти пароли никогда не были напрямую доступны в интернете и хранились только во внутренних системах. Другими словами, согласно официальной версии, доступ к ним имели только сотрудники компании.
Компания также заявляет, что Они не обнаружили никаких доказательств внутреннего насилия. Они также не признают несанкционированный доступ сотрудников к этим паролям, за исключением консультаций, проводимых в технических или проектных целях. Тем не менее, они признают, что непреднамеренная запись паролей в виде открытого текста является серьёзной ошибкой и не соответствует применяемым ими, по их утверждениям, мерам безопасности.
Экспертные источники цитируют официальных лиц Facebook, которые объясняют, что компания Для защиты паролей используются системы шифрования. В обычных условиях система заменяет символы случайными значениями, что позволяет проверить ключ без его сохранения в виде открытого текста. Проблема, по-видимому, возникла из-за некоторых внутренних приложений и инструментов, которые из-за конструктивных недостатков регистрировали пароли до применения процесса шифрования.
Facebook утверждает, что это уведомление затронутых пользователей посредством уведомлений на самой платформе и специальных сообщений, но настаивает на том, что не будет принудительно менять пароли, если не обнаружит явных злоупотреблений, связанных с конкретной учётной записью. Однако такой подход вызывает недоверие у многих пользователей, которые считают наиболее разумным принудительным массовым сбросом паролей.
В официальном заявлении компании, а также в заявлениях её представителей, таких как инженер Скотт Ренфро, по-прежнему говорится, что «не было выявлено ни одного случая намеренного поиска паролей в вредоносных целях», и что фактический риск будет ограничен. Несмотря на это, компания подробно объясняет Как изменить пароль Facebook и Instagram, и рекомендует задействовать дополнительные меры безопасности, что усиливает ощущение того, что инцидент более серьезен, чем его представляют.
Правовые последствия: GDPR и штраф для Meta за хранение паролей в виде открытого текста
Проблема открытых текстовых паролей имеет не только технические последствия, но и сильное юридическое воздействие на Мета (материнская компания Facebook и Instagram) в Европейском союзе. Ирландская комиссия по защите данных (DPC), являющаяся основным органом надзора за многими крупными технологическими компаниями в Европе, начала специальное расследование, направленное на выявление этой уязвимости безопасности.
После длительного анализа того, как хранились эти пароли, кто мог получить к ним доступ и какие меры были приняты для решения проблемы, DPC пришел к выводу, что Meta нарушил несколько ключевых статей Общего регламента по защите данных (GDPR), связанных с целостностью, конфиденциальностью и безопасностью обработки персональных данных.
- Статья 5(1)(f) GDPRЭто относится к принципу целостности и конфиденциальности. Ведомство установило, что компания Meta не приняла достаточных технических и организационных мер для обеспечения безопасности паролей от несанкционированной обработки.
- Статья 32(1) GDPRЭто требует принятия мер безопасности, соответствующих риску, включая возможность гарантировать постоянная конфиденциальность данныхСохраняя пароли в виде открытого текста во внутренних системах, компания не соблюдает этот стандарт, требуемый от любого контролера данных.
- Статьи 33(1) и 33(5)Эти правила регулируют обязанность уведомлять надзорный орган о нарушениях безопасности персональных данных и документировать их. DPC посчитал, что компания Meta не уведомила с достаточной тщательностью и не задокументировала надлежащим образом инцидент, связанный с хранением незашифрованных паролей.
Грэм Дойл, заместитель комиссара DPC, подчеркнул, что он Широко распространено мнение, что пароли никогда не следует хранить в виде открытого текста.Учитывая потенциальные злоупотребления в случае получения кем-либо доступа к такого рода данным, он подчеркнул, что в данном случае учетные данные были особенно конфиденциальными, поскольку они позволяли получить прямой доступ к аккаунтам пользователей в социальных сетях.
В результате всех этих нарушений Мета столкнулся с большой финансовый штрафЭтот штраф дополняет другие санкции, наложенные на компанию за различные нарушения защиты данных в Европейском союзе. Этот финансовый штраф также призван послужить предупреждением другим крупным платформам о необходимости внедрения надёжных политик безопасности и прозрачного и быстрого реагирования на подобные нарушения.
Что могут сделать пользователи, чтобы защитить свои аккаунты?
Хотя Facebook настаивает, что смена пароля не является строго обязательной из-за этого инцидента, с точки зрения цифровой безопасности пользователям настоятельно рекомендуется принять некоторые меры предосторожности. профилактические меры для защиты ваших учетных записей, особенно если вы долгое время не меняли пароль.
- Измените свой пароль Facebook и Instagram на длинный и уникальный ключВыберите пароль, сочетающий заглавные и строчные буквы, цифры и символы. Избегайте использования одного и того же пароля для других сервисов.
- Активар ла Двухэтапная проверка (2FA) всегда, когда это возможно, чтобы даже если кто-то узнает ваш пароль, ему понадобился второй фактор (код из SMS, приложение для аутентификации, физический ключ и т. д.).
- Чаще проверяйте оповещения о входе в систему y los подключенные устройства в настройках безопасности Facebook и Instagram для обнаружения подозрительного доступа.
- Оцените использование менеджер паролей надежный, позволяющий генерировать безопасные и разные ключи для каждой службы, без необходимости запоминать их все.
Компания Meta заявляет, что теперь она сравнивает данные паролей, полученных из других утечек, с учетными записями своих пользователей, чтобы предупредить их в случае обнаружения совпадений, и что она отправляет оповещения о подозрительной активности Это происходит при попытке входа в систему из неизвестного местоположения или с неизвестного устройства. Однако окончательная ответственность за обеспечение безопасности учётной записи лежит на самом пользователе, который должен выработать привычку безопасного управления паролями.
Что вы думаете? Как вы думаете, Facebook потеряет больше пользователей? Этот тип инцидента подорвал доверие многих пользователей социальной сети и их политики конфиденциальности, но это также помогло подчеркнуть важность использования надежных паролей, отказа от их повторного использования и внимательного отношения к тому, как крупные платформы хранят и защищают нашу самую конфиденциальную информацию.
