:

Szerző: Hlács Ferenc

2019. március 22. 10:55

Jelszavak millióit tárolta titkosítás nélkül a Facebook

A belső használatra szánt adatbázisban egyszerű szövegként tárolt jelszavak között a cég dolgozóinak tízezrei kereshettek szabadon.

A Facebooknak eddig sem volt a legjobb a renoméja a felhasználói adatkezelés kapcsán, most azonban ha lehet még tovább romlik a cég hírneve: mint arról a KrebsOnSecurity blogon Brian Krebs biztonsági szakértő beszámolt, a közösségi óriás több százmillió felhasználójának jelszavait tárolta egyszerű szövegként, főként a Facebook Lite használói esetében, de a hagyományos Facebook app, illetve az Instagram felhasználói is érintettek az ügyben. A titkosítatlan adatbázis ráadásul több ezer Facebook alkalmazott számára volt elérhető és kereshető. A vállalat az ügyben már belső vizsgálatot indított, ugyanakkor saját bevallása szerint legalábbis nem talált arra utaló jelet, hogy az alkalmazottak visszaéltek volna hozzáférésükkel az érzékeny adatokhoz.

A eset kapcsán a biztonsági kutatónak a Facebook egyik neve elhallgatását kérő senior alkalmazottja szólalt meg. A forrás szerint az adatokat a cég alkalmazottai által készített appok használták - noha nem világos hogy csak belső használatra szánt szoftverekről van-e szó - és a cég saját szerverein tárolták.

fbilllll

Az eddigi adatok alapján egyelőre nem tisztázott, hogy pontosan hány felhasználó érintett az ügyben, a Facebook nyomozása jelenleg is zajlik, ugyanakkor valahol 200 és 600 millió közé tehető azon profilok száma, amelyek jelszavait egyszerű szövegként tárolták. Az adatokhoz a vállalat több mint 20 ezer alkalmazottja férhetett hozzá, a titkosítatlan adatbázisok pedig egészen 2012-ig nyúlnak vissza. Krebs forrása szerint továbbá egyes naplófájlok alapján mintegy kétezer mérnök és fejlesztő összesen közel kilencmillió belső lekérdezést indított az elmúlt években, amelyek titkosítatlan felhasználói jelszavakat tartalmaztak.

CI/CD-vel folytatódik az AWS hazai online meetup-sorozata!

A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.

CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.

A fenti számokat a közösségi óriás hivatalosan még nem erősítette meg, ahogy a cég KrebsOnSecuritynek nyilatkozó szoftvermérnöke, Scott Renfro fogalmaz, "a vállalat még nem kész rá, hogy pontos számokról beszéljen". Magát a súlyos adatkezelési fiaskót ugyanakkor a cég is elismeri, noha jelszócserére várhatóan a felhasználóknak nem lesz szükségük. A Facebook a nyomozás során eddig nem talált arra utaló jelet, hogy az egyszerűen hozzáférhető, érzékeny adatokkal bárki visszaélt volna, illetve a vállalat szerint az adatok tárolása "nem jelentett valós biztonsági kockázatot". Amennyiben azonban mégis talál visszaélést, a vállalat új jelszavakat oszt majd ki a felhasználóknak - persze jelszócserére most is bárkinek lehetősége van.

Renfro szerint a problémára idén januárban figyeltek fel először, mikor a biztonsági mérnökei új kódokat ellenőriztek, abban pedig "véletlenül" egyszerű szövegként naplózott jelszavakat találtak. A vállalat ezután indított szélesebb körű nyomozást a probléma pontos kiterjedtségének meghatározására. A Facebook az eset miatt több téren infrastruktúra-átalakítást is tervez, a hasonló problémák megelőzésére. A cég továbbá "tervezi" értesíteni a felhasználókat, akik jelszavait titkosítatlanul kezelte, a blognak adott nyilatkozata szerint ez több százmillió Facebook Lite és több tízmillió Facebook felhasználót, valamint több tízezer Instagram profil tulajdonosát jelenti.

A közelmúltban alaposan rájárt a rúd a közösségi oldalra, a helyzeten pedig a vállalat százmilliókat érintő hanyag adatkezelése sem javít. Főleg miután néhány héttel ezelőtt már a német versenyhatóság is elkezdte szorongatni a céget, a felhasználók túlzott, engedély nélküli követése, illetve a cég különböző szolgáltatásaiban begyűjtött személyes adatok kombinálása miatt.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról