A Facebook ma bejelentette, hogy a biztonsági felülvizsgálat komoly hibákat tárt fel a jelszavak tárolásában. Ez titkosítás nélkül volt az adatbázisban, és elérhető volt az alkalmazottak számára.
A hivatalos jelentésben "néhány jelszó" milliókra derült ki. A Facebook belső forrása felfedte a KrebsOnSecurity szervernek, hogy 200 és 600 millió felhasználói jelszó között van. Csak egyszerű szövegben tárolták, titkosítás nélkül.
Vagyis a cég 20 XNUMX alkalmazottja közül bárki megszerezhette volna a felhasználói fiókok jelszavát az adatbázis egyszerű lekérdezésével. Ráadásul az információk szerint nem csak a Facebook közösségi oldalról, hanem az Instagramról is szó volt. E jelszavak jelentős része a Facebook Lite felhasználóitól származott, amely egy nagyon népszerű kliens a lassabb Android okostelefonokhoz.
A Facebook azonban ugyanabban a lélegzetben hozzáteszi, hogy nincs bizonyíték arra, hogy az alkalmazottak bármelyike visszaélt volna a jelszavakkal. Egy névtelen munkatárs azonban a KrebsOnSecurity-nek elmondta, hogy több mint kétezer mérnök és fejlesztő dolgozott az adott adatbázissal, és körülbelül kilencmillió adatbázis-lekérdezést hajtott végre a szóban forgó jelszótáblázaton.
A Facebook javasolja az Instagram jelszavának megváltoztatását is
Végül az egész incidens azért történt, mert a Facebookon belül volt egy olyan alkalmazás, amely elfogta a titkosítatlan jelszavakat. Eddig azonban nem sikerült pontosan nyomon követni az ilyen veszélyes módon tárolt jelszavak számát, és azt sem, hogy mennyi ideig tárolták őket így az adatbázisban.
A Facebook fokozatosan fel kívánja venni a kapcsolatot minden olyan felhasználóval, aki biztonsági kockázatnak lehet kitéve. A cég azt is meg kívánja vizsgálni, hogyan tárolja az egyéb érzékeny adatokat, például a bejelentkezési tokeneket, hogy a jövőben ne fordulhasson elő hasonló helyzet.
Mindkét érintett közösségi oldal, azaz a Facebook és az Instagram felhasználóinak meg kell változtatniuk jelszavaikat. Főleg, ha más szolgáltatásoknál is ugyanazt a jelszót használták, mert előfordulhat, hogy előbb-utóbb az egész archívum titkosítatlan jelszavakkal az internetre kerül. Maga a Facebook azt is javasolja, hogy kapcsolja be a kétlépcsős azonosítást, hogy engedélyezze a hozzáférést a profiljához.
Forrás: MacRumors