autor: Bartosz Krawcewicz
Facebook przechowywał niezabezpieczone hasła użytkowników
Hasła setek milionów użytkowników Facebooka były przechowywane na serwerach firmy w niezaszyfrowanej formie od co najmniej siedmiu lat, donosi serwis KrebsOnSecurity. Przez ten czas ponad 20 tysięcy pracowników korporacji miało swobodny dostęp do wrażliwych danych osób posiadających konta w serwisie.
Serwis KrebsOnSecurity dotarł do długoletniego pracownika Facebooka. Zgodził się on na rozmowę z dziennikarzami, pod warunkiem zachowania anonimowości. Według niego wewnętrzne dochodzenie wykazało, że hasła do kont od 200 milionów do nawet 600 milionów użytkowników przechowywane były na serwerach firmy jako zwykły tekst. W odpowiedzi Facebook wystosował oficjalne oświadczenie, że w trakcie rutynowej kontroli zabezpieczeń przeprowadzonej w styczniu tego roku okazało się, że część haseł użytkowników przechowywana jest na serwerach w niezaszyfrowanej formie. Firma zapewnia, że problem został już rozwiązany, a osoby, których hasła były widoczne, zostaną o tym fakcie niezwłocznie powiadomione.
Wspomniane wyżej, anonimowe źródło twierdzi, że najstarsze znalezione archiwa z niezabezpieczonymi danymi użytkowników datowane są na 2012 rok, co oznaczałoby, że proceder trwa już co najmniej siedem lat. Dostęp do bazy ma ponad 20 tysięcy pracowników Facebooka, z czego, według analizy logów, ok. 2000 inżynierów i programistów wykonało w sumie 9 milionów zapytań o fragmenty danych, w których znajdowały się niezabezpieczone hasła.
Scott Renfro, inżynier oprogramowania w firmie Facebook, w wywiadzie dla KrebsOnSecurity zapewnia, że wewnętrzne dochodzenie nie wskazuje na to, aby którykolwiek z pracowników celowo szukał w bazie wrażliwych danych – nie ma też oznak nieupoważnionego używania ich przez kogokolwiek. Firma nie będzie wymagać zmiany haseł, jeżeli nie będzie do tego odpowiednich przesłanek, a tych póki co nie ma. W oficjalnym oświadczeniu Facebook zachęca jednak do zmiany hasła oraz korzystania z systemu podwójnej weryfikacji – tak na wszelki wypadek. Renfro nie komentuje szczegółów informacji pozyskanych od anonimowego pracownika, zaznaczając, że firma nie jest jeszcze gotowa na podawanie oficjalnych liczb.
To nie pierwsza wpadka Facebooka w kwestii prywatności w ostatnim czasie. Dziennikarze gazety New York Times w grudniu zeszłego roku odkryli, że serwis sprzedawał zewnętrznym firmom dane użytkowników bez ich wiedzy.