İlginç

Facebook Yüz Milyonlarca Parolayı Maskelenmemiş Metin Olarak Sakladı

Facebook Yüz Milyonlarca Parolayı Maskelenmemiş Metin Olarak Sakladı


We are searching data for your request:

Forums and discussions:
Manuals and reference books:
Data from registers:
Wait the end of the search in all databases.
Upon completion, a link will appear to access the found materials.

Bugün çarpıcı bir açıklamada Facebook, yüz milyonlarca kullanıcının şifrelerini 2012 yılına kadar maskelenmemiş düz metin olarak şirket içi sunucularda yanlışlıkla sakladığını kabul etti.

Dahili Şirket Sunucularında Düz Metin Olarak Açıkta Bırakılan Kullanıcı Şifreleri

Facebook’un Mühendislik, Güvenlik ve Gizlilik başkan yardımcısı Pedro Canahuati bugün yaptığı açıklamada, geçtiğimiz Ocak ayında yapılan rutin bir güvenlik incelemesi sırasında Facebook'un "bazı kullanıcı şifrelerinin" maskelenmemiş düz metin olarak Facebook tarafından dahili olarak saklandığını keşfettiğini doğruladı.

AYRICA BAKIN: ELON MUSK TÜM ŞİRKETLERİNİN FACEBOOK HESAPLARINI SİLİYOR

Canahuati, "Bu dikkatimizi çekti çünkü oturum açma sistemlerimiz, parolaları okunamaz hale getiren teknikler kullanarak maskelemek için tasarlandı" dedi. "Bu sorunları düzelttik ve bir önlem olarak şifreleri bu şekilde saklanan herkesi bilgilendireceğiz."

"Bu, yıllar önce yakalanması gereken bir şey. Neden olmasın?"

Maskeleme başarısızlığının nedeni - şifreler genellikle okunabilir metni anlamsız hale getiren hashing adı verilen bir işlem kullanılarak şifrelenir - yazılım mühendislerinin platformlarında görünürde bir dizi hatayla maskelenmemiş olanı kaydetmeye neden olan uygulamalar geliştirmesinin sonucuydu. , okunabilir şifreler ve bunları düzgün bir şekilde karma yapmadan dahili olarak günlüğe kaydetti.

Başlangıçta tarafından işaretlendiGüvenlik için Krebs, Canahuati’nin "bazı" kullanıcıların etkilendiğine dair kabulü, hafif bir eksiklik olarak görülebilir. Göre Krebs200 milyon ila 600 milyon Facebook kullanıcısının Facebook hesaplarının şifreleri ifşa edilmişti, bazıları 2012 yılına kadar.

Facebook, etkilenen şifrelerin yüz milyonlarca Facebook Lite kullanıcısı - zayıf bağlantıya veya düşük uç cihazlara sahip olanlar için erişilebilir olacak şekilde tasarlanmış bir Facebook sürümü -, on milyonlarca normal Facebook kullanıcısı ve on binlerce Instagram'da olduğunu kabul ediyor. kullanıcılar.

20.000'den Fazla Facebook Çalışanı Tarafından Görüntülenebilir ve Aranabilir Olası Parolalar

Canahuati, "bu şifreler Facebook dışında hiç kimse tarafından görülmedi ve bugüne kadar hiç kimsenin dahili olarak istismara uğradığına veya onlara uygunsuz bir şekilde eriştiğine dair hiçbir kanıt bulamadık" diyor.

Bununla birlikte, soruşturma hala devam ediyor ve gizlilik ve veri güvenliği endişeleri söz konusu olduğunda, şirketin güvenilirliğine son bir buçuk yılda tekrarlanan darbeler göz önüne alındığında bu güvencelerin doğruluğunu bilmenin bir yolu yok. Bildiğimiz şey, bu şifrelerin, şifrelerin depolandığı Facebook'un dahili sunucusuna erişimi olan 20.000'den fazla Facebook çalışanı tarafından arama yoluyla erişilebilir ve alınabilir olabileceğidir.

Bu, ne kadar iyi niyetli olurlarsa olsunlar, bir Facebook çalışanının kullanıcıların gizliliği ve veri güvenliği üzerinde sahip olamayacağı kadar fazla güçtür.

Anonim bir Facebook çalışanı söyledi Krebs "erişim günlükleri, 2.000 mühendisin veya geliştiricinin düz metin kullanıcı şifreleri içeren veri öğeleri için yaklaşık dokuz milyon dahili sorgu yaptığını gösterdi."

İle bir röportajda Krebsİkinci bir Facebook çalışanı, yazılım mühendisi Scott Renfro, şu ana kadar hiç kimsenin kasıtlı olarak bu şifre verilerini toplamaya çalıştığına dair herhangi bir kanıt olmadığını söylüyor.

Renfro, "Şimdiye kadar araştırmalarımızda birinin kasıtlı olarak şifre aradığı herhangi bir vaka bulamadık veya bu verilerin kötüye kullanıldığına dair işaretler bulamadık" dedi. "Bu durumda bulduğumuz şey, bu şifrelerin yanlışlıkla günlüğe kaydedildiği, ancak bundan kaynaklanan gerçek bir riskin olmadığıdır. Bu adımları sakladığımızdan emin olmak ve yalnızca kötüye kullanım belirtilerinin kesinlikle görüldüğü durumlarda şifre değişikliğini zorunlu kılmak istiyoruz. "

Bunlar, başka bir meşru amaca hizmet eden alakasız sorgular olabilir ve bunlardan herhangi bir zarar gelmemiş olabilir, ancak Facebook aslında bizden sözlerini dinlememizi istiyor.

Bunun Yıllarca Çatlaklardan Basitçe Kayması Gerçekten İnanılmaz

Burada biraz editörlük yapabilirsem, bunun olmaması gerektiğini söylemek, olayı birkaç derece küçümsemek demektir.

Yazılım arızaları her zaman meydana gelir, bu beklenen bir durumdur ve bazen özellikle ince yazılım arızasının nedenini ortaya çıkarmak uzun zaman alabilir; yanlış yerleştirilmiş bir çift{ } Bir kod parçasındaki parantezler, program gayet iyi çalışıyor gibi görünse de, bir programın davranışını kökten değiştirebilir.

Facebook çalışanlarının tartışmasız sahip olduğu yeterince güçlü bir işlemci kullanılıyorsa, bir bot bir veritabanında 9 milyon sorguyu çok hızlı bir şekilde yapabilir. Facebook ayrıca, sunucularında anlaşılmaz miktarda ham veri depolar. Durum böyle olunca, bu 9 milyon arama, Facebook çalışanları tarafından birkaç yıllık bir dönemde yapılan sorguların çok küçük bir bölümünü temsil ediyor. Bu kadar küçük bir örneklem boyutunun, parola ifşasını tespit etmenin bir garanti olmadığı son derece anlaşılır.

"Şimdiye kadar, araştırmalarımızda birisinin kasıtlı olarak şifre aradığı herhangi bir vaka bulamadık veya bu verilerin kötüye kullanıldığına dair işaretler bulamadık." - Facebook Yazılım Mühendisi Scott Renfro, KerbsOnSecurity

Ayrıca, bu sorguları yapan mühendisler ve geliştiriciler, maskelenmemiş parolalar da dahil olmak üzere kullanıcı bilgilerini içeren bir veri düğümünü almış ve sorgulamak istedikleri verilere hiç bakmamışlardır. Programcılar, verileri açık bir kullanıcının veri düğümünün belirli, ilgisiz bir veri alanından almak ve bu verileri doğrudan üzerinde çalıştıkları programa beslemek için bir komut dosyası veya işlev kullanabilir.

Bu durumda, bir saatte milyonlarca sorgu yapabilirler ve hiçbir zaman tek bir kullanıcı verisine bakmak zorunda kalmazlar, ifşa edilen şifreler hariç.

Bu tür bir programlamanın doğası, koda bakarak ve programınızın mantığını izleyerek böyle bir hatayı bulmayı zorlaştırabilir. Sistemler, bunun bir olasılık olamayacağı kadar karmaşıktır ve girdilerle ilgili sorunlar - özellikle parolalar gibi kullanıcı tarafından girilen girdiler - programcıların yazılımı tasarlarken tahmin etmeye çalışması gereken en öngörülemeyen zorluklar arasındadır.

Bu türden öngörülemeyen sorunlar tam olarak neden karmaşık test API'lerinin tüm kitaplıklarının oluşturulduğudur. Otomasyonu kullanarak, bir yazılım modülünü farklı girdiler kullanarak milyonlarca tekrarla test ederek modülünüzü stres testine tabi tutabilir ve onu kırmaya çalışabilir, böylece yazılımı dağıtmadan önce gizli güvenlik açıklarını ortaya çıkarabilirsiniz.

Aynı şekilde, milyonlarca farklı girdiyi bir işleve besleyebilir ve çıktının olması gerektiği gibi olduğunu doğrulayabilirsiniz; Örneğin, karma işlevine geçirilen bir parolanın gerçekten şifrelenmiş bir parola döndürüp döndürmediğini bilmiyorum. Elbette, hiçbir test mükemmel değildir ve hiçbir şey% 100 güvenli hale getirilemez, ancak bu, birkaç yüz parolayı Rastgele Sayı Tanrısına bir teklif olarak maskelenmemiş, basit bir test olarak ortaya çıkaran son derece nadir bir durum değildir.

Facebook'un yaklaşık 2,5 milyar aktif aylık kullanıcısı var, bu nedenle şifreleri ifşa edilen 200 ila 600 milyon kullanıcı, toplam Facebook kullanıcılarının yüzdesine yaklaşık olarak, Facebook'un aktif aylık kullanıcı tabanının yaklaşık% 8-24'ünü temsil ediyor.

Bu, yıllarca çatlaklardan kaymış büyük bir yüzde. Bu maskelenmemiş, düz metin şifrelerin, saklanan şifre verileri kadar hassas bir şeyle uğraşırken ihtiyaç duyduğunuz zorlu test türleri sırasında görünmemesi mümkün değildir. Bu maskesiz, düz metin şifrelerin, görünüşte ilgisiz amaçlarla bu veri öğelerine erişen en "seçkin" kalite güvence ekipleri, güvenlik analistleri ve geliştiricilerden bazıları tarafından "gözden kaçmış" olması gerçeği gobsmacking.

Açığa çıkan şifrelerin her biri, sosyal medya hesaplarını yıllar önce terk eden bir kullanıcıyı temsil etse bile, önemli olmazdı. Veriler hala orada duruyordu, dahili çalışanlar tarafından tamamen erişilebilir durumdaydı, bakmaya zahmet eden herkesin görmesi için kırmızı bayrak sallıyordu. Bu, yıllar önce yakalanması gereken bir şey. Neden olmadı?

Cehennem, bir kullanıcının veri dosyasında bulunan kullanıcı şifreleri alanlarında bir günden daha kısa bir süre boyunca bir regex algoritması çalıştıran bir bot, kullanıcı şifrelerinde tanınabilir kelimelerin göründüğünü fark eder ve bu güvenlik aşımıyla ilgili alarmları harekete geçirirdi; maskeli şifreler bronco, vatansever veya ILoveBetoORourkeABunch kelimelerini içermez.

Milyarlarca kullanıcı hesabını, bu güvenlik açığını açığa çıkaracak depolanmış şifrelerdeki tanınabilir kalıplar için kontrol etmek çok fazla iş gibi görünse de, tam anlamıyla Facebook algoritmalarının her gün yaptığı şey budur. Bu tür bir veri analizi, Facebook'un bu Dünya'da tam olarak yapması gereken şeydir, ancak görünüşe göre algoritmalarını verilerimizde serbest bırakıp ne tür kıyafetleri sevdiğimizi anlamayı ve tercihlerimizi satabilmelerini istiyorlar gibi görünüyor. reklamverenler.

Facebook, şüphesiz bu güvenlik açığı ve sorunu çözmek için ne yapacakları hakkında daha fazla bilgi ifşa edecek, ancak Facebook'un gizlilik ve veri güvenliği konularında son zamanlarda yaşanan skandalları göz önüne alındığında, bu en azından cesaret verici bir gelişme değil. "Rutin" güvenlik testleri yapan mühendislerin parolaların maskelenmediğini gördükten sonra Ocak ayında keşfedilmiş olması, daha önceki "rutin" güvenlik testlerinin neden bu sorunu daha erken ortaya çıkarmadığı sorusunu akla getiriyor?

Söylemeye gerek yok, yüz milyonlarca kullanıcı hesabında bulunan verileri, anahtarları bu hesaplara bırakarak (maskelenmemiş, düz metin şifreler) şirket içi sunucularında ifşa edilen güvence altına alamamak, şimdiye kadarki en büyük başarısızlıktır. Facebook için oldukça berbat bir buçuk yıl oldu.


Videoyu izle: Динамичные Бесплатные переходы для Final Cut Pro. Поворот и Слайды (Mayıs Ayı 2022).