Jelszavak millióit tárolta titkosítás nélkül a Facebook
A belső használatra szánt adatbázisban egyszerű szövegként tárolt jelszavak között a cég dolgozóinak tízezrei kereshettek szabadon.
A Facebooknak eddig sem volt a legjobb a renoméja a felhasználói adatkezelés kapcsán, most azonban ha lehet még tovább romlik a cég hírneve: mint arról a KrebsOnSecurity blogon Brian Krebs biztonsági szakértő beszámolt, a közösségi óriás több százmillió felhasználójának jelszavait tárolta egyszerű szövegként, főként a Facebook Lite használói esetében, de a hagyományos Facebook app, illetve az Instagram felhasználói is érintettek az ügyben. A titkosítatlan adatbázis ráadásul több ezer Facebook alkalmazott számára volt elérhető és kereshető. A vállalat az ügyben már belső vizsgálatot indított, ugyanakkor saját bevallása szerint legalábbis nem talált arra utaló jelet, hogy az alkalmazottak visszaéltek volna hozzáférésükkel az érzékeny adatokhoz.
A eset kapcsán a biztonsági kutatónak a Facebook egyik neve elhallgatását kérő senior alkalmazottja szólalt meg. A forrás szerint az adatokat a cég alkalmazottai által készített appok használták - noha nem világos hogy csak belső használatra szánt szoftverekről van-e szó - és a cég saját szerverein tárolták.
Az eddigi adatok alapján egyelőre nem tisztázott, hogy pontosan hány felhasználó érintett az ügyben, a Facebook nyomozása jelenleg is zajlik, ugyanakkor valahol 200 és 600 millió közé tehető azon profilok száma, amelyek jelszavait egyszerű szövegként tárolták. Az adatokhoz a vállalat több mint 20 ezer alkalmazottja férhetett hozzá, a titkosítatlan adatbázisok pedig egészen 2012-ig nyúlnak vissza. Krebs forrása szerint továbbá egyes naplófájlok alapján mintegy kétezer mérnök és fejlesztő összesen közel kilencmillió belső lekérdezést indított az elmúlt években, amelyek titkosítatlan felhasználói jelszavakat tartalmaztak.
A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.
A fenti számokat a közösségi óriás hivatalosan még nem erősítette meg, ahogy a cég KrebsOnSecuritynek nyilatkozó szoftvermérnöke, Scott Renfro fogalmaz, "a vállalat még nem kész rá, hogy pontos számokról beszéljen". Magát a súlyos adatkezelési fiaskót ugyanakkor a cég is elismeri, noha jelszócserére várhatóan a felhasználóknak nem lesz szükségük. A Facebook a nyomozás során eddig nem talált arra utaló jelet, hogy az egyszerűen hozzáférhető, érzékeny adatokkal bárki visszaélt volna, illetve a vállalat szerint az adatok tárolása "nem jelentett valós biztonsági kockázatot". Amennyiben azonban mégis talál visszaélést, a vállalat új jelszavakat oszt majd ki a felhasználóknak - persze jelszócserére most is bárkinek lehetősége van.
Renfro szerint a problémára idén januárban figyeltek fel először, mikor a biztonsági mérnökei új kódokat ellenőriztek, abban pedig "véletlenül" egyszerű szövegként naplózott jelszavakat találtak. A vállalat ezután indított szélesebb körű nyomozást a probléma pontos kiterjedtségének meghatározására. A Facebook az eset miatt több téren infrastruktúra-átalakítást is tervez, a hasonló problémák megelőzésére. A cég továbbá "tervezi" értesíteni a felhasználókat, akik jelszavait titkosítatlanul kezelte, a blognak adott nyilatkozata szerint ez több százmillió Facebook Lite és több tízmillió Facebook felhasználót, valamint több tízezer Instagram profil tulajdonosát jelenti.
A közelmúltban alaposan rájárt a rúd a közösségi oldalra, a helyzeten pedig a vállalat százmilliókat érintő hanyag adatkezelése sem javít. Főleg miután néhány héttel ezelőtt már a német versenyhatóság is elkezdte szorongatni a céget, a felhasználók túlzott, engedély nélküli követése, illetve a cég különböző szolgáltatásaiban begyűjtött személyes adatok kombinálása miatt.