В ходе регулярной плановой проверки в январе Facebook обнаружила, что пароли «сотен миллионов» пользователей Facebook Lite (облегченная версия соцсети) и «десятков миллионов» пользователей Facebook хранятся в виде простых текстовых записей, безо всякого шифрования, говорится в блоге компании в четверг.
В оправдание Facebook поясняет, что все эти пароли хранились на внутренних серверах компании, где к ним имели доступ лишь сотрудники соцсети – и нет никаких данных о том, что кто-то из сотрудников воспользовался этой уязвимостью. Проблема уже устранена, но Facebook все равно разошлет уведомления тем, чьи пароли оказались в списке, говорится в сообщении.
Эксперт по информационной безопасности Брайан Кребс (Brian Krebs), ссылаясь на инсайдерские данные, добавляет , что число таких паролей колеблется от 200 тысяч до 600 тысяч, доступ к ним могли получить более 20 тысяч человек, а хранились некоторые из паролей с 2012 года. Источник Кребса также отметил, что, судя по логам доступа, порядка двух тысяч инженеров или разработчиков Facebook около девяти миллионов раз обращались к данным, содержащим незашифрованные пароли.
Отвечая на запрос Кребса, представитель Facebook заявил, что в ходе расследования не обнаружено ни одного факта прямого обращения к паролям, а также нелегитимного их использования – так что менять пароли пострадавшим пользователям необязательно.
Ряд экспертов по кибербезопасности резко высказались по поводу «открытия» Facebook. Одни отмечают, что соцсеть сегодня выросла до уровня «социальной критической инфраструктуры» — и подобные ляпы для такой организации недопустимы: как можно доверять компании, совершающие настолько «детские» ошибки?
С другой стороны, к сожалению, подобный тип проблем широко встречается именно у крупных технологических компаний, уже не справляющихся с собственными архивами, говорят другие. Получается, что о своих пользователях они знают все, а вот в собственном внутреннем устройстве путаются. Третьи указывают на то, что эта «находка» — очередное доказательство ненадежности классических паролей в принципе; пришло время заменить эту архаичную методику идентификации новыми технологиями, считают они.