In einer atemberaubenden Offenbarung heute Facebook hat bestätigt, dass versehentlich Hunderte Millionen Benutzerkennwörter auf internen Unternehmensservern als nicht maskierter Klartext gespeichert wurden, der bis ins Jahr 2012 zurückreicht.
Benutzerkennwörter werden auf Unternehmensservern als einfacher Text angezeigt
In eine Aussage Pedro Canahuati, Vice President of Engineering, Security and Privacy bei Facebook, bestätigte heute, dass Facebook bei einer routinemäßigen Sicherheitsüberprüfung im vergangenen Januar festgestellt hat, dass „einige Benutzerkennwörter“ von Facebook intern in nicht maskiertem Klartext gespeichert wurden.
SIEHE AUCH: ELON MUSK LÖSCHT ALLE FACEBOOK-KONTEN SEINER UND SEINER UNTERNEHMEN
„Dies hat unsere Aufmerksamkeit erregt, da unsere Anmeldesysteme so konzipiert sind, dass Passwörter mithilfe von Techniken maskiert werden, die sie unlesbar machen“, sagte Canahuati. „Wir haben diese Probleme behoben und werden vorsichtshalber alle benachrichtigen, in denen Passwörter gespeichert sindHier entlang."
"Dies ist etwas, das vor Jahren hätte gefangen werden sollen. Warum war es nicht?"
Die Ursache des Maskierungsfehlers - Kennwörter werden normalerweise mit einem Prozess namens verschlüsselt. Hashing das den lesbaren Text in Kauderwelsch verschlüsselt - war das Ergebnis von Software-Ingenieuren, die offenbar Anwendungen auf ihrer Plattform erstellen, die aufgrund einer offensichtlichen Reihe von Fehlern die nicht maskierten, lesbaren Kennwörter aufzeichnen und intern protokollieren, ohne sie ordnungsgemäß zu hashen.
ursprünglich gekennzeichnet durch Krebs über Sicherheit , Canahuatis Bestätigung, dass „einige“ Benutzer betroffen waren, könnte als leichte Untertreibung angesehen werden. Krebs 200 bis 600 Millionen Facebook-Nutzer hatten die Passwörter für ihr Facebook Konten ausgesetzt einige bereits 2012.
Facebook erkennt an, dass die Anzahl der betroffenen Passwörter bei Hunderten von Millionen von Facebook Lite-Nutzern liegt - einer Version von Facebook, die für Benutzer mit schlechter Konnektivität oder Low-End-Geräten zugänglich ist -, bei zig Millionen regulären Facebook-Nutzern und bei Zehntausendenvon Instagram-Nutzern.
Passwörter können von mehr als 20.000 Facebook-Mitarbeitern angezeigt und durchsucht werden
Canahuati sagt das „Diese Passwörter waren für niemanden außerhalb von Facebook sichtbar und wir haben bisher keine Beweise dafür gefunden, dass jemand sie intern missbraucht hat oder nicht ordnungsgemäß darauf zugegriffen hat.“
Die Untersuchung ist jedoch noch nicht abgeschlossen, und es gibt keine Möglichkeit, die Richtigkeit dieser Zusicherungen zu ermitteln, da die Glaubwürdigkeit des Unternehmens in den letzten anderthalb Jahren in Bezug auf Datenschutz- und Datensicherheitsbedenken wiederholt beeinträchtigt wurde. Was wir wissenist, dass diese Passwörter möglicherweise gewesen Zugriff und Abruf über die Suche durch mehr als 20.000 Facebook-Mitarbeiter mit Zugriff auf den internen Server von Facebook, auf dem die Passwörter gespeichert wurden.
Das ist viel zu viel Macht über die Privatsphäre und Datensicherheit der Benutzer, als dass ein Facebook-Mitarbeiter sie hätte haben können, egal wie gut sie gemeint sind.
Ein anonymer Facebook-Mitarbeiter sagte Krebs dass „Zugriffsprotokolle zeigten, dass etwa 2.000 Ingenieure oder Entwickler ungefähr neun Millionen interne Abfragen nach Datenelementen durchgeführt haben, die Klartext-Benutzerkennwörter enthielten.“
In einem Interview mit Krebs Ein zweiter Facebook-Mitarbeiter, Software-Ingenieur Scott Renfro, sagt, dass es bisher keine Beweise dafür gibt, dass jemand absichtlich versucht hat, diese Passwortdaten zu sammeln.
„Wir haben bisher keine Fälle in unseren Untersuchungen gefunden, in denen jemand absichtlich nach Passwörtern gesucht hat, und wir haben auch keine Anzeichen für einen Missbrauch dieser Daten gefunden“, sagte Renfro. „In dieser Situation haben wir diese Passwörter gefundenwurden versehentlich protokolliert, aber es gab kein tatsächliches Risiko, das daraus resultiert. Wir möchten sicherstellen, dass wir diese Schritte reservieren und eine Kennwortänderung nur in Fällen erzwingen, in denen definitiv Anzeichen von Missbrauch vorliegen. "
Während dies möglicherweise nicht zusammenhängende Anfragen waren, die einem anderen legitimen Zweck dienten und möglicherweise keinen Schaden von ihnen verursacht haben, bittet Facebook uns im Wesentlichen, ihr Wort dafür zu nehmen.
Es ist buchstäblich unglaublich, dass dies jahrelang einfach durch die Ritzen gerutscht ist
Wenn ich hier etwas redaktionell arbeiten kann, bedeutet es zu sagen, dass dies nicht hätte passieren dürfen, den Fall um einige Größenordnungen zu unterschätzen.
Software-Fehlfunktionen treten ständig auf, dies ist zu erwarten und manchmal kann es lange dauern, bis die Ursache für besonders subtile Software-Fehlfunktionen aufgedeckt ist. Ein falsches Paar von {} Klammern in einem Code können das Verhalten eines Programms radikal verändern, obwohl das Programm anscheinend einwandfrei läuft.
Ein Bot kann sehr schnell 9 Millionen Abfragen einer Datenbank durchführen, wenn er einen ausreichend leistungsstarken Prozessor verwendet, über den Facebook-Mitarbeiter zweifellos verfügen. Facebook speichert auch eine unergründliche Menge an Rohdaten auf seinen Servern. In diesem Fall sind diese 9 Millionen Suchvorgänge wahrscheinlichstellen einen sehr kleinen Teil der Anfragen dar, die Facebook-Mitarbeiter über einen Zeitraum von mehreren Jahren gestellt haben. Es ist sehr verständlich, dass eine so kleine Stichprobengröße das Erkennen der Passwortexponierung nicht garantiert.
"Wir haben in unseren Untersuchungen bisher keine Fälle gefunden, in denen jemand absichtlich nach Passwörtern gesucht hat, und wir haben auch keine Anzeichen für einen Missbrauch dieser Daten gefunden." - Facebook-Software-Ingenieur Scott Renfro, Interview mit KerbsOnSecurity
Es ist auch wahrscheinlich, dass die Ingenieure und Entwickler, die diese Abfragen durchgeführt haben, einen Datenknoten mit Benutzerinformationen, einschließlich der nicht maskierten Kennwörter, abgerufen und nicht einmal die Daten angesehen haben, die sie abfragen wollten. Programmierer können einfach ein Skript oder eine Funktion verwendendie Daten aus einem bestimmten, nicht verwandten Datenfeld des Datenknotens eines exponierten Benutzers zu entnehmen und diese einzugeben Daten direkt in das Programm, an dem sie gearbeitet haben.
In diesem Fall könnten sie Millionen von Abfragen pro Stunde durchführen und müssten niemals eine einzelne Zeile von Benutzerdaten betrachten, geschweige denn die offengelegten Passwörter.
Die Art dieser Art der Programmierung kann es schwierig machen, einen solchen Fehler aufzuspüren, indem Sie sich den Code ansehen und die Logik Ihres Programms verfolgen. Die Systeme sind einfach zu komplex, als dass dies möglich wäre und Probleme mit Eingaben auftreten könnten. - insbesondere vom Benutzer eingegebene Eingaben wie Passwörter - gehören zu den unvorhersehbarsten Herausforderungen, die Programmierer beim Entwerfen von Software antizipieren müssen.
Diese Art von unvorhersehbaren Problemen ist genau der Grund, warum ganze Bibliotheken ausgefeilter Test-APIs erstellt wurden. Mithilfe der Automatisierung können Sie ein Softwaremodul durch Millionen von Wiederholungen mit verschiedenen Eingaben testen, um Ihr Modul einem Stresstest zu unterziehen und zu versuchen, es zu beschädigen, wodurch es verborgen bleibtSchwachstellen vor der Bereitstellung der Software.
Ebenso können Sie Millionen verschiedener Eingaben in eine Funktion eingeben und überprüfen, ob die Ausgabe so ist, wie sie sein sollte. Ich weiß nicht, ob ein an eine Hashing-Funktion übergebenes Kennwort tatsächlich ein verschlüsseltes Kennwort zurückgibt. SicherKein Test ist perfekt und nichts kann zu 100% sicher gemacht werden, aber dies ist kein außergewöhnlich seltenes Ereignis, bei dem einige hundert Passwörter als entlarvter, einfacher Test als Opfergabe an den Zufallszahlengott entlarvt wurden.
Facebook hat ungefähr 2,5 Milliarden aktive monatliche Nutzer, sodass die 200 bis 600 Millionen Nutzer, deren Passwörter offengelegt wurden, in grober Näherung des Prozentsatzes der gesamten Facebook-Nutzer etwa 8 bis 24% der aktiven monatlichen Nutzerbasis von Facebook ausmachen.
Das ist ein gewaltiger Prozentsatz, der jahrelang durch die Risse gerutscht ist. Es ist einfach nicht möglich, dass diese nicht maskierten Klartextkennwörter bei den strengen Tests, die Sie für den Umgang mit so sensiblen wie gespeicherten Objekten benötigen, nicht angezeigt werdenPasswortdaten. Die Tatsache, dass diese entlarvten Klartext-Passwörter von einigen der "elitärsten" Qualitätssicherungsteams, Sicherheitsanalysten und Entwicklern, die zu angeblich nicht verwandten Zwecken auf diese Datenelemente zugreifen, "übersehen" wurden, ist umwerfend.
Selbst wenn jedes einzelne der offengelegten Passwörter einen Benutzer darstellt, der seine Social-Media-Konten Jahre zuvor gekündigt hat, spielt dies keine Rolle. Die Daten befanden sich immer noch dort und waren für interne Mitarbeiter uneingeschränkt zugänglichwer hat sich die Mühe gemacht zu schauen. Dies ist etwas, das vor Jahren hätte gefangen werden sollen. Warum war es nicht?
Zum Teufel, ein Bot, der weniger als einen Tag lang einen Regex-Algorithmus für Benutzerkennwortfelder in der Datendatei eines Benutzers ausführt, hätte festgestellt, dass erkennbare Wörter in Benutzerkennwörtern auftauchen und Alarme über diese Sicherheitslücke auslösen. Maskierte Kennwörter werden nicht ausgelöstEnthält nicht die Wörter bronco, patriot oder ILoveBetoORourkeABunch.
Das Überprüfen von Milliarden von Benutzerkonten auf erkennbare Muster in gespeicherten Passwörtern, die diese Sicherheitsanfälligkeit aufgedeckt hätten, klingt nach viel Arbeit, aber genau das tun die Facebook-Algorithmen jeden Moment des Tages. Diese Art der Datenanalyse ist genau das, was Facebook gibtauf dieser Erde zu tun, aber es sieht so aus, als würden sie lieber ihre Algorithmen auf unsere Daten loslassen, um herauszufinden, welche Art von Kleidung wir mögen, damit sie unsere Vorlieben an Werbetreibende verkaufen können.
Facebook wird zweifellos weitere Informationen zu dieser Sicherheitslücke und den Maßnahmen zur Behebung des Problems veröffentlichen. Angesichts des jüngsten Skandals von Facebook in Bezug auf Fragen des Datenschutzes und der Datensicherheit ist dies jedoch keine ermutigende Entwicklung, um es gelinde auszudrückenDie Tatsache, dass es erst im Januar entdeckt wurde, nachdem Ingenieure, die "routinemäßige" Sicherheitstests durchführten, festgestellt haben, dass Passwörter nicht maskiert wurden, wirft die Frage auf, warum frühere "routinemäßige" Sicherheitstests dieses Problem nicht früher aufgedeckt haben.
Unnötig zu erwähnen, dass die in Hunderten von Millionen Benutzerkonten enthaltenen Daten nicht gesichert werden können, indem die Schlüssel für diese Konten belassen werden. - der Demaskierte Klartext Passwörter, die auf den internen Servern ihres Unternehmens angezeigt werden, sind der bisher spektakulärste Fehler in den für Facebook bereits schrecklichen anderthalb Jahren.