Facebook več sto milijonov gesel hranil v besedilni obliki

Facebook se je zapletel v nov varnostni incident, ki zajema zasebnost njegovih uporabnikov. Brian Krebs piše, da je od leta 2012 do nedavna Facebook gesla nekaterih uporabnikov hranil kar v besedilni obliki. To pomeni, da so bila gesla zapisana v podatkovni bazi in vidna vsakomur, ki je imel dostop. Facebook je navedbe potrdil, a dodal, da niso zabeležili nepooblaščenih dostopov ali zlorab.

Viri poročajo, da gre za med 200 milijoni in 600 milijoni gesel uporabnikov Facebooka, ki so bila shranjena v besedilni obliki in indeksirana, tako da je imelo do njih dostop več kot 20.000 Facebookovih zaposlenih. Facebook naj bi še vedno poizkušal ugotoviti, koliko gesel je dejansko izpostavljenih in od kdaj se napaka vleče - prvi odkriti primeri so iz leta 2012. Po neuradnih podatkih je v tem času približno 2000 inženirjev izvedlo devet milijonov poizvedb po bazi, ki so vračale tudi gesla v besedilni obliki. Facebook številk ne komentira. Je pa Facebook dejal, da bodo o incidentu obvestili več sto milijonov uporabnikov Facebooka Lite, več deset milijonov uporabnikov Facebooka in več deset tisoč uporabnikov Instagrama.

Shranjevanje gesel v besedilni obliki je velika varnostna luknja in popolnoma neprimerna praksa, ki izpostavlja upravljavca baze velikim tveganjem. Vsakršen vdor v bazo ali nepooblaščen dostop namreč pomeni, da so ogrožena gesla uporabnikov. Standardni pristop je shranjevanje gesel v zgoščeni obliki (hashed), potem ko jim je bil dodan še naključen niz znakov (salted). Na ta način tudi ob morebitnem vdoru iz pridobljenih podatkov ni mogoče izračunati gesel. Še več, zaradi dodanega naključnega niza imajo uporabniki z enakimi gesli različne zgoščene vrednosti. To je tudi razlog, zakaj vam spletne strani ne morejo poslati pozabljenega gesla, temveč vam lahko ponudijo le ponastavitev.