Tādā tukšākā nedēļā, kad Zakerberga pamuļķā un zaglīgā komanda galīgi nespēj neko jaunu izdomāt, atklājas kāda pavisam traka, pat neiedomājama nolaidība. Viens no pasaulē lielākajiem personu datu uzglabātājiem Facebook izdomājis glabāt tavu, manu un kaimiņa paroli bez šifrēšanas. Vienkāršoti izsakoties, kaut kur mētājas TXT datne ar tavu lietotājvārdu un paroli.
Facebook šobrīd uzsver, ka paroles bez šifrēšanas atrodas tikai Facebook darbiniekiem pieejamā vietā, bet, pat ja tā ir taisnība, šādi uzglabāt paroles nedrīkst. Iespējams, šādas vaļības kaut kur pa kluso var atļauties darīt kāds lokāla mēroga interneta veikals-viendienītis, bet ne jau pasaulē lielākais personu datu uzglabātājs Facebook.
Facebook šo kļūdu esot izlabojis, kā arī tiek solīts visiem iesaistītajiem lietotājiem nosūtīt informāciju par šo mazo, sīksīciņo kļūmīti.
Facebook uzglabājis paroles nešifrētā veidā par daudziem simtiem miljonu Facebook, Facebook Lite, kā arī Instagram lietotāju.
Normāla paroļu DB sanāk – var pārdot paroļu lauzējiem kā papildinājumu paroļu vārdnīcu
jāsāk apsvērt doma par vk izdzēšanos no fb :D
Izklausās pēc fake ziņām. Neticu ka viņi būtu tik stulbi, un glabātu paroles nešifrētā veidā. Pat hešotas paroles neaizņem daudz vietas. Pierādījums pythona
>>> a
‘ManaSuperLabaParole123.’
>>> output_hashed
‘df788e22bc60719561cb3735b0c94903cd00b65881c961aede46172ddf88a69cf8edd19e47e61e5a4d41f441b1a39505d9d220586774d82b86b97ca3f9afb9d4’
>>> sys.getsizeof(a)
72
>>> sys.getsizeof(output_hashed)
177
77 vs 177 baiti!!, labi, piemetot sāli, tapāt tas neaizņem daudz vietas.
https://newsroom.fb.com/news/2019/03/keeping-passwords-secure/
Zinoši cilvēki raksta, ka ir gan problēma https://krebsonsecurity.com/2019/03/facebook-stored-hundreds-of-millions-of-user-passwords-in-plain-text-for-years/
Bezmaz vai jādzēšās arā no fb, ja šamie neprot(negrib) izdarīt tik elementāru lietu, ko jebkurš pirmkursnieks būtu izdarījis.
Šie jau veci jaunumi, sen jau ir bijusi iespēja nopirkt pakas ar Facebook lietotaju parolēm, ja vēl veicās un pareizi dara, varēja ielogoties arī, jo pārsvarā prasa SMS verifikāciju. Pārdeva un pārdod joprojām pa kādiem 10usd 10 acc. Darbinieki sen jau miljonāri no tās “datubāzes”.
Man pagaidām tikai draugiem.lv parole uzpeldējusi (jau izdzēstam kontam) kaut kādā izspiešanas vēstulē. Labi zinot, toreiz reģistrējoties šitiem sūdu saitiem uzliktu uzreiz atpazīstamas paroles :D
> Darbinieki sen jau miljonāri no tās “datubāzes”.
Nu gluži muļķības jebšu nepamatotas lietas nevajag rakstīt (FUD).
Daudz paroļu tiek iegūtas tāpēc, ka lietotāji (kā jau var redzēt piem. pēc KKTK prakses) N resursos lieto vienu un to pašu paroli un tad atliek tikai vienam no tiem kaut kur “noklīst” un tad čakli cilvēki tās pārbauda citos saitos un to tiem sakompilē gala rezultātu, ar kuru teiksim konkrētajam resursam nav nekādas vainas vispār (izņemot varbūt to ka lietotājam drakoniski nav uzspiedis, piemēram, 2FA autorizāciju).
Tikpat čakli cilvēki veido rainbow tabulas lai varētu pārlasīt arī hashotas paroles utt..
Šķiet, ka daži komentētāji īsti neizprot, kas noticis. Varbūt, raksta autors arī nē, bet varbūt vienkārši sensacionalizē ne īpaši sensacionālu notikumu.
Nav jau tā, ka FB datubāzē lietotāju tabulā glabājās nekriptētas paroles (kā tās glabājās, viņi turpat bloga ierakstā skaidro).
Bet kad lietotājs logojās iekšā bija kaut kāds kods, kurš debugging vai security mērķiem logos ieraksta viskautkādu kontekstu. Visticamāk rakstāmais konteksts bija visaptverošs un nejauši tajā trāpījās arī lietotāju iesūtītās paroles, kas līdz ar to kaut kādos logos kopā ar pārējo kontekstu uzkrājās.
No Krebsa bloga: “employees built applications that logged unencrypted password data for Facebook users and stored it in plain text on internal company servers”
Protams, tas ir drošības risks, un ir slikti, ka n-to petabaitu starpā, kurus FB ielogo katru dienu, bija arī dažu lietotāju paroles, bet nu nevajag arī iedomāties, ka tur ir pilnīgi idioti, kuri nezin par elementārām drošības prasībām.
FB strādā nevis pilnīgi idioti, bet diezgan gudri cilvēki, kuri nevis nezina par elementārām drošības prasībām, bet mēģina izveicīgi tās neievērot un to noklusēt, jo neievērošana nes papildus peļņu, bet problēmu publiskošana kaitē biznesam.