מעניין

פייסבוק שמרה מאות מיליוני סיסמאות כטקסט ללא מסיכה

פייסבוק שמרה מאות מיליוני סיסמאות כטקסט ללא מסיכה

בחשיפה מדהימה היום, פייסבוק הודתה כי היא אחסנה בטעות מאות מיליוני סיסמאות משתמשים בשרתי החברה הפנימיים כטקסט רגיל ללא מסיכה כבר בשנת 2012.

סיסמאות משתמש שנותרו כטקסט רגיל בשרתי חברה פנימיים

בהצהרה שהוציאה היום, אישר פדרו קנאחואטי, סגן נשיא להנדסה, אבטחה ופרטיות של פייסבוק, כי במהלך ביקורת אבטחה שגרתית בינואר האחרון גילתה פייסבוק כי "כמה סיסמאות משתמש" נשמרו על ידי פייסבוק באופן פנימי בטקסט רגיל ללא מסיכה.

ראו גם: אלון מושק מוחק את כל חשבונות הפייסבוק שלו ושל חברותיו

"זה משך את תשומת ליבנו מכיוון שמערכות הכניסה שלנו נועדו להסוות סיסמאות בטכניקות שהופכות אותן לבלתי קריאות", אמר קנחואטי. "תיקנו את הבעיות הללו וכאמצעי זהירות נודיע לכל מי שסיסמאות שמצאנו אוחסנו בצורה כזו."

"זה משהו שהיה צריך להיתפס לפני שנים. מדוע לא?"

הגורם לכישלון המיסוך - סיסמאות בדרך כלל מוצפנות באמצעות תהליך שנקרא hashing שמטשטש את הטקסט הקריא לג'יבריש - היה תוצאה של מהנדסי תוכנה שככל הנראה בנו יישומים על הפלטפורמה שלהם, שבסופו של דבר שגיאת שגיאות לכאורה, בסופו של דבר הקליטו את החסות המסכה , סיסמאות הניתנות לקריאה ורשמו אותן באופן פנימי מבלי לגבות אותן כראוי.

במקור סומן על ידיקרבס על אבטחה, ההכרה בקנחואטי כי "חלק מהמשתמשים" הושפעו ניתן היה לראות במעט לשון המעטה. לפי קרבס, בין 200 ל -600 מיליון משתמשי פייסבוק נחשפו הסיסמאות לחשבונות הפייסבוק שלהם, חלקן כבר בשנת 2012.

פייסבוק מכירה בכך שהסיסמאות המושפעות מונות מאות מיליוני משתמשי פייסבוק לייט - גרסה של פייסבוק שנועדה להיות נגישה לבעלי קישוריות לקויה או מכשירים נמוכים -, עשרות מיליוני משתמשי פייסבוק רגילים ועשרות אלפי אינסטגרם. משתמשים.

סיסמאות ניתנות לצפייה - וניתנות לחיפוש - על ידי יותר מ -20,000 עובדי פייסבוק

קנחואטי אומר כי "הסיסמאות האלה מעולם לא נראו לאף אחד מחוץ לפייסבוק ולא מצאנו עדויות כלשהן עד היום לכך שמישהו התעלל בהן באופן פנימי או לגשת אליהן בצורה לא נכונה"

החקירה עדיין נמשכת ואין שום דרך לדעת את אמיתות ההבטחות הללו לאור המכות החוזרות ונשנות באמינות החברה בשנה וחצי האחרונות בכל הנוגע לחששות בנושא פרטיות ואבטחת נתונים. מה שאנו יודעים הוא שייתכן כי סיסמאות אלו היו נגישות וניתנות לשליפה באמצעות חיפוש על ידי יותר מ -20,000 עובדי פייסבוק עם גישה לשרת הפנימי של פייסבוק בו אוחסנו הסיסמאות.

זה כוח רב מדי על פרטיות המשתמשים ואבטחת הנתונים שיש לעובד בפייסבוק, לא משנה כמה הם מכוונים.

סיפר ​​עובד פייסבוק אנונימי קרבס כי "יומני הגישה הראו כי כ -2,000 מהנדסים או מפתחים ביצעו כתשעה מיליון שאילתות פנימיות עבור רכיבי נתונים שהכילו סיסמאות משתמש בטקסט רגיל."

בראיון עם קרבס, עובד פייסבוק שני, מהנדס התוכנה סקוט רנפרו, אומר שעד כה אין הוכחות לכך שמישהו ניסה בכוונה לאסוף את נתוני הסיסמה הללו.

"לא מצאנו עד כה מקרים בחקירות שלנו שמישהו חיפש סיסמאות בכוונה, ולא מצאנו סימנים לשימוש לרעה בנתונים אלה", אמר רנפרו. "במצב זה מה שמצאנו הוא שהסיסמאות הללו נרשמו בשוגג, אך לא היה סיכון ממשי שמקורו בכך. אנחנו רוצים לוודא שאנחנו שומרים את הצעדים האלה ורק נאלץ לשנות סיסמה במקרים שבהם בהחלט היו סימנים של התעללות. "

יתכן שמדובר בשאילתות שאינן קשורות ששימשו מטרה לגיטימית אחרת וייתכן שלא נגרם להן שום נזק, אך פייסבוק בעצם מבקשת מאיתנו לקבל את דברן.

ממש לא יאומן שזה פשוט החליק דרך הסדקים במשך שנים

אם אני יכול לערוך כאן מעט עריכה, להגיד שזה לא היה צריך לקרות זה לשון המעטה על המקרה בכמה סדרי גודל.

תקלות בתוכנה מתרחשות כל הזמן, זה צפוי ולעיתים יכול לקחת זמן רב לחשוף את הגורם לתקלה מתוחכמת במיוחד בתוכנה; זוג שלא הוצב במקום{ } סוגריים בפיסת קוד יכולים לשנות באופן קיצוני את התנהגות התוכנית למרות שנראה שהתוכנית פועלת בסדר גמור.

בוט יכול לבצע 9 מיליון שאילתות של מסד נתונים במהירות רבה אם משתמשים במעבד חזק מספיק, אשר ללא ספק יש לעובדי פייסבוק. פייסבוק שומרת גם כמות בלתי נתפסת של נתונים גולמיים בשרתיה. כיוון שכך, 9 מיליון החיפושים הללו מייצגים ככל הנראה חלק קטן מאוד מהשאילתות שעשו עובדי פייסבוק במשך מספר שנים. זה מובן מאוד שגודל מדגם כל כך קטן הופך את גילוי חשיפת הסיסמה לא למפקד.

"לא מצאנו עד כה מקרים בחקירות שלנו שמישהו חיפש בכוונה סיסמאות, וגם לא מצאנו סימנים של שימוש לרעה בנתונים אלה." - מהנדס התוכנה של פייסבוק, סקוט רנפרו, ראיון עם KerbsOnSecurity

סביר להניח כי המהנדסים והמפתחים שביצעו שאילתות אלה אחזרו צומת נתונים המכיל מידע על המשתמש, כולל סיסמאות שלא הוחלו, ואף לא בדקו את הנתונים שהם חיפשו. מתכנתים יכולים פשוט להשתמש בתסריט או בפונקציה כדי לקחת את הנתונים משדה נתונים ספציפי ולא קשור של צומת הנתונים של משתמש חשוף ולהאכיל את הנתונים ישירות לכל תוכנית שהם עובדים עליהם.

במקרה כזה, הם יכלו לבצע מיליוני שאילתות בשעה ולעולם לא יצטרכו לבחון שורה אחת של נתוני משתמשים, ועוד פחות מהסיסמאות החשופות.

אופי תכנות מסוג זה יכול להקשות על מעקב אחר באג כזה על ידי התבוננות בקוד והתחקות אחר ההיגיון של התוכנית שלך. המערכות פשוט מורכבות מכדי שזו יכולה להיות אפשרות ובעיות בתשומות - במיוחד תשומות שהוזנו על ידי המשתמש כמו סיסמאות - הן בין האתגרים הבלתי צפויים ביותר שיש למתכנתים לנסות לצפות בעת תכנון תוכנה.

סוגים אלו של בעיות בלתי צפויות הם בדיוק הסיבות לכך שנוצרו ספריות שלמות של ממשקי API לבדיקה מתוחכמים. באמצעות אוטומציה, תוכלו לבדוק מודול תוכנה באמצעות מיליוני חזרות באמצעות תשומות שונות כדי לבדוק את המודול שלכם ולנסות לשבור אותו, ובכך לחשוף פרצות נסתרות לפני פריסת התוכנה.

כמו כן, תוכל להזין מיליוני תשומות שונות לפונקציה ולוודא שהפלט הוא מה שהוא אמור להיות; כמו, אני לא יודע, אולי אם סיסמה שהועברה לפונקציה hashing אכן מחזירה סיסמה מוצפנת. בטח, שום בדיקה אינה מושלמת, ואי אפשר לעשות שום דבר מאובטח ב 100%, אבל זה לא אירוע נדיר במיוחד שחשף כמה מאות סיסמאות כמבחן פשוט ובלתי מוסווה כמנחה לאל המספרים האקראיים.

בפייסבוק יש כ -2.5 מיליארד משתמשים פעילים בחודש, ולכן 200 עד 600 מיליון משתמשים שסיסמאותיהם נחשפו מייצגים, בערך בערך אחוז סך כל משתמשי פייסבוק, כ-8-24% מבסיס המשתמשים החודשי הפעיל של פייסבוק.

זהו אחוז מסיבי שהחליק דרך הסדקים במשך שנים. זה פשוט לא אפשרי שסיסמאות טקסט רגיל ללא מסיכה לא הופיעו במהלך סוגי הבדיקות הקפדניות שאתה צריך בעת התמודדות עם משהו רגיש כמו נתוני סיסמה מאוחסנים. העובדה שסיסמאות טקסט רגיל ללא מסיכה "הוחמצו" על ידי כמה מצוותי אבטחת האיכות ה"עילית "ביותר, אנליסטים ביטחוניים ומפתחים שניגשים לאלמנטים נתונים אלה למטרות שאינן קשורות לכאורה, היא סחרחורת.

גם אם כל אחת מהסיסמאות החשופות מייצגת משתמש שעזב את חשבונות המדיה החברתית שלו שנים קודם לכן, זה לא היה משנה. הנתונים עדיין ישבו שם, נגישים באופן מלא על ידי עובדים פנימיים, והניפו דגל אדום לכל מי שיראה מי טרח להסתכל. זה משהו שהיה צריך להיתפס לפני שנים. למה זה לא היה?

לעזאזל, בוט שמריץ אלגוריתם regex בשדות סיסמאות משתמש הכלולים בקובץ הנתונים של המשתמש במשך פחות מיממה היה קולט שמילים מזוהות מופיעות בסיסמאות משתמש ומניע אזעקות על פקיעת אבטחה זו; סיסמאות רעולי פנים אינן מכילות את המילים ברונקו, פטריוט או ILoveBetoORourkeABunch.

בדיקת מיליארדי חשבונות משתמשים לאיתור דפוסים ניתנים לזיהוי בסיסמאות מאוחסנות שהיו חושפים את הפגיעות הזו נשמעת כמו עבודה רבה, אך זה ממש מה שעושים האלגוריתמים של פייסבוק בכל רגע ורגע בכל יום. סוג זה של ניתוח נתונים הוא בדיוק מה שפייסבוק קיימת בכדור הארץ הזה לעשות, אבל נראה שהם מעדיפים להרפות את האלגוריתמים שלהם בנתונים שלנו כדי לנסות להבין איזה סוג בגדים אנחנו אוהבים כדי שהם יוכלו למכור את ההעדפות שלנו ל מפרסמים.

פייסבוק ללא ספק תגלה מידע נוסף על חלוף האבטחה הזה ועל מה שהם יעשו כדי לפתור את הבעיה, אך בהתחשב בשערורייה האחרונה של פייסבוק סביב נושאי פרטיות ואבטחת נתונים, זו לא התפתחות מעודדת בלשון המעטה. העובדה שזה התגלה רק בינואר לאחר שמהנדסים שביצעו בדיקות אבטחה "שגרתיות" ראו כי לא מסתווים סיסמאות מעלה את השאלה מדוע בדיקות אבטחה "שגרתיות" קודמות לא חשפו בעיה זו מוקדם יותר?

למותר לציין שכישלון האבטחה של הנתונים הכלולים במאות מיליוני חשבונות המשתמשים שלהם על ידי השארת המפתחות לחשבונות אלה - סיסמאות הטקסט הרגיל ללא מסיכה - שנחשפו בשרתי החברה הפנימית שלהם הוא הכישלון המרהיב ביותר עד כה במה שכבר שנה די נורא וחצי עבור פייסבוק.


צפו בסרטון: איך למחוק חשבון פייסבוק - מחיקת חשבון פייסבוק לצמיתות (סֶפּטֶמבֶּר 2021).