źródło: shutterstock.com

Facebook poinformował dziś o błędzie w swoich systemach zarządzania hasłami. Rutynowy przegląd systemów przeprowadzony w styczniu wykazał błąd, który spowodował, że setki milionów haseł użytkowników Facebooka, Facebooka Lite i Instagrama były przechowywane jako zwykły tekst na wewnętrznej platformie.

Widoczność haseł użytkowników

Systemy logowania do serwisu są zaprojektowane do maskowania haseł przy użyciu technik, które czynią je nieczytelnymi. Pojawienie się problemu wiąże się z tym, że tysiące pracowników firmy mogło je znaleźć. Hasła sięgają tych, które utworzono w 2012 roku. Autor informacji, Pedro Canahuati, twierdzi, że nie były one widoczne dla nikogo poza Facebookiem i nie znaleziono do tej pory dowodów, aby ktoś wewnętrznie nadużywał lub niewłaściwie do nich korzystał.

Raport KrebsOnSecurity szacuje, że problem może dotyczyć od 200 do 600 milionów korzystających z produktów Facebooka. W oficjalnej informacji światowy gigant przekazuje, że szacuje, iż powiadomi o tym setki milionów użytkowników Facebook Lite, dziesiątki milionów użytkowników Facebooka oraz dziesiątki tysięcy użytkowników Instagrama.

Facebook poinformował także WIRED, że odkryte hasła nie były przechowywane w jednym miejscu, a problem nie wynikał z pojedynczego błędu w systemie zarządzania hasłami platformy. Zamiast tego firma przypadkowo przechwyciła hasła w postaci zwykłego tekstu w różnych mechanizmach wewnętrznych i systemach pamięci masowej, takich jak dzienniki awarii.

Bezpieczeństwo haseł

Facebook poinformował, że dla bezpieczeństwa używa “hash” dla haseł i wykorzystuje funkcję o nazwie „scrypt”, a także klucz kryptograficzny, który pozwala nieodwracalnie zastąpić rzeczywiste hasło losowym zestawem znaków. Dzięki tej technice możliwe jest sprawdzenie, czy dana osoba loguje się przy użyciu poprawnego hasła, bez konieczności przechowywania hasła w postaci zwykłego tekstu.

Naprawa problemu

Problem był na tyle skomplikowany, zarówno pod kątem zrozumienia go oraz naprawy, że prawie dwa miesiące zajęło firmie zakończenie dochodzenia i ujawnienie ustaleń.

Co zrobić?

Chociaż jak zapewnia firma, żadne hasła nie zostały ujawnione zewnętrznie i nie znaleziono dotąd żadnych dowodów nadużyć, przedstawiono kilka kroków, które możemy podjąć, aby zapewnić bezpieczeństwo konta. Biorąc pod uwagę przeszłe zdarzenia związane z Facebookiem, wydaje się, że warto zapobiegawczo je zastosować.

• Możesz zmienić swoje hasło w ustawieniach na Facebooku (Ustawienia -> Bezpieczeństwo i logowanie -> Zmień hasło) i Instagramie (Ustawienia -> Prywatność i bezpieczeństwo -> Hasło). Warto unikać ponownego używania haseł nawet w różnych usługach.
• Wybierz silne i złożone hasła do wszystkich swoich kont. Pomocne mogą być aplikacje menedżera haseł.
• Rozważ włączenie klucza bezpieczeństwa lub uwierzytelniania dwuskładnikowego w celu ochrony konta Facebooku za pomocą kodów z aplikacji do uwierzytelniania innej firmy. Po zalogowaniu się przy użyciu hasła zostaniesz poproszony o kod zabezpieczający, aby sprawdzić Twoją tożsamość.

Więcej informacji na temat Bezpieczeństwa na Facebooku.