Security Week 13: открытые пароли в Facebook

Security Week 13: открытые пароли в Facebook
У Facebook проблема с безопасностью пользовательских данных. Опять? Да сколько можно! 19 марта журналист Брайан Кребс сообщил, что компания годами хранила пароли пользователей в открытом виде ( новость , статья Кребса, официальное сообщение Facebook). Судя по официальному заявлению и по данным Кребса (полученным от сотрудника компании, пожелавшего остаться анонимным), база открытых паролей образовалась в результате действий разработчиков.

Пароль от вашей учетной записи с высокой вероятностью был в этой базе, если вы пользовались приложением Facebook Lite, но возможны и другие варианты. Facebook планирует уведомить всех пострадавших индивидуально, предложив сменить пароль, — это «десятки миллионов» пользователей Facebook и Instagram.
База данных была обнаружена в ходе регулярного аудита безопасности и существовала предположительно с 2012 года. Пользователи соцсети пострадали условно: в Facebook утверждают, что никакой подозрительной активности (утечки базы или неправомерного доступа со стороны инсайдеров) зафиксировано не было. Тем не менее, по данным Кребса, полученным из анонимного источника, внутри компании было зафиксировано более 9 миллионов обращений к базе паролей от двух тысяч разработчиков.

В общем, к этой ситуации очень хорошо подходит цитата из фильма:

99274d2d01bb7513404d5d51b7bf7474.png
Такая резко отрицательная оценка ситуации с безопасностью в Facebook возможна только на фоне прочих неприятностей социальной сети. Все началось со скандала с массовым профилированием пользователей сторонней фирмой Cambridge Analytica в 2018 году. После этого было обнаружено много особенностей работы Facebook, которые было бы неплохо усовершенствовать в контексте приватности данных пользователей. Это и проблемы с модерацией контента, и эксплуатация рекламной системы, которая позволяет таргетировать людей по номерам телефонов, и многое другое. Шестого марта основатель сети Марк Цукерберг анонсировал радикальные изменения в соцсети, которая в будущем должна стать «сфокусированной на приватности». Это похвально, хотя не стоит забывать, что бизнес-модель соцсети (да и любого другого бесплатного сетевого сервиса) по-прежнему зависит от продажи персональных данных пользователей рекламодателям в том или ином виде.

Так вот, если от этого всего отвлечься, то проблема с паролями не выглядит настолько ужасной — просто потому, что подобные неполадки регулярно возникают у многих сервисов. В прошлом году компания Twitter попросила сменить пароль у 330 миллионов пользователей — выяснилось, что пароли открытым текстом, до хеширования, сохранялись во внутренних логах соцсети. Аналогичная проблема с логами произошла и у Github . Instagram недавно внедрил возможность загрузки всех данных пользователя (согласно требованиям GDPR) так, что пароль на определенном этапе и вовсе передавался прямо в составе URL.

Вроде не беда: Facebook утверждает, что не факт, что даже с правильным паролем злоумышленник сможет зайти в чужой аккаунт — сработает система безопасности. Двухфакторная аутентификация также уменьшает шансы неправомерного доступа. Наши данные надежно защищены — ну, не считая других инцидентов, позволявших, например, войти в чужой аккаунт вообще без пароля . И проблемы несерьезного подхода к приватности, из-за чего наши данные хранятся не только у сетевых гигантов, но и вообще у кого попало.

Требования, которые понемногу начинают предъявлять к крупным организациям, таким как Facebook, Google и Apple, оказываются серьезнее, чем к более мелким компаниям, — из-за масштаба. Даже небольшая проблема или недоработка в их случае затрагивает количество пользователей, равное населению не самой маленькой страны. Судя по всему, важнее становится даже не безопасность учетной записи отдельного пользователя, а приватность пользователей в целом. Каждое сообщение из серии «опять что-то пошло не так» заставляет задуматься: а что они про нас еще знают? К каким данным имеют доступ? Как их используют?

И дело не только в том, что вам показывают рекламу когтеточек, если вы регулярно пишете про котиков. Мы даже еще не знаем, к чему приведет широкая доступность пользовательских данных в сети. Относительно небольшой (там не упоминался Facebook, поэтому никто не заметил) скандал произошел недавно вокруг алгоритма распознавания лиц компании IBM. Выяснилось, что для тренировки использовалась база данных пользовательских фото с Flickr. С юридической точки зрения все чисто, фото распространялись по лицензии Creative Commons. Кажется, поколение пользователей интернета начала двухтысячных будет самым задокументированным: до этого не было технологий, после — уже не позволят вновь разрабатываемые нормы приватности. То, что на базе наших с вами данных развиваются технологии — хорошо. Хотелось бы избежать ситуации, когда накачанные информацией алгоритмы знают пользователей лучше, чем они сами, и используют это не только для невероятно умных и полезных сервисов, но и для манипуляции.

Источник .

Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом.
Alt text

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!