Facebook wydał oświadczenie, w którym przyznał, że hasła użytkowników zostały zapisane czystym tekstem w różnych miejscach. Oznacza to, że każdy, kto dostanie dostęp do zbiorów, zobaczy całe hasło, takie jak na przykład 123456789, mojehasło123, czy wt45X$/6FsT8. Stało się tak, dlatego że zgodnie z obecnymi standardami hasła nie zostały zahashowane i w plikach nie są widoczne jako ciąg niezrozumiałych znaków np. 379f1531753a7c43ab4f4faace212451, którego nie można zdeszyfrować.
Jak Facebook mógł popełnić tak kardynalny błąd?
Dobrą wiadomością jest to, że źle przechowywane hasła nie są częścią systemu uwierzytelniania Facebooka. Innymi słowy, serwery brzegowe Facebooka, które pozwalają użytkownikom na logowanie do portalu, nie mają dostępu do kopii haseł. Według Briana Krebsa, dziennikarza do spraw bezpieczeństwa cybernetycznego, niektórzy programiści Facebooka przez lata wyjątkowo niedbale podchodzili do przygotowywania logów z serwerów, co teraz ma swoje konsekwencje.
Hasła z Facebooka nie były usuwane po tym, jak zostały użyte do weryfikacji logowania. Były one przechowywane i ostatecznie zapisane w plikach z logami z serwerów, w których to żadne hasła nigdy nie powinny się znaleźć.
– Facebook traktuje dane uwierzytelniające bardzo poważnie i wprowadził wiele mechanizmów, zarówno zewnętrznych, jak i wewnętrznych, w celu zapewnienia ich maksymalnej ochrony. Prawdopodobnie nastąpił przypadkowy błąd w programowaniu, który doprowadził do zapisania danych uwierzytelniających w postaci zwykłego tekstu. To nigdy nie powinno mieć miejsca, a Facebook powinien teraz zapewnić użytkowników, że żadne dane uwierzytelniające nie zostały naruszone w wyniku tego błędu. Jest to również kolejne przypomnienie dla osób, które stale używają tych samych, często słabych haseł, że warto zmienić swoje hasło na Facebooku na unikalne oraz włączyć uwierzytelnianie dwuskładnikowe – komentuje Joanna Wziątek-Ładosz, ekspert Sophos ds. cyberbezpieczeństwa.
Jak poważna jest sytuacja?
– Pisemne oświadczenie z Facebooka przekazane do KrebsOnSecurity mówi, że Facebook powiadomi o tym incydencie setki milionów użytkowników Facebooka Lite, dziesiątki milionów innych użytkowników Facebooka i dziesiątki tysięcy użytkowników Instagrama – przyznaje Brian Krebs.
Czy powinienem zamknąć swoje konto na Facebooku?
O tym musisz zdecydować samodzielnie. Biorąc jednak pod uwagę, że źle przechowywane hasła nie trafiły do jednej bazy danych i nie były łatwo dostępne, ani celowo przechowywane do rutynowego użycia podczas logowania, nie uważamy, żeby to naruszenie było wystarczającym powodem do zamknięcia konta, ale ostateczna decyzja należy do Ciebie.
Czy należy zmienić hasło na Facebooku?
Możliwe, że w wyniku tego incydentu żadne hasła nie trafiły w ręce cyberprzestępców. Gdyby jednak któreś z nich dostało się w niepowołane ręce, to może stać się przyczyną nadużyć.
Czy uwierzytelnianie dwuskładnikowe ma sens?
Zdecydowanie tak – namawiamy, aby zrobić to wszędzie tam, gdzie to możliwe – wtedy samo hasło nie wystarczy, aby oszuści zalogowali się i zaatakowali konto. Jeśli użytkownik nie chce podawać na Facebooku swojego numeru telefonu, może użyć uwierzytelniania opartego na aplikacji, w której telefon komórkowy generuje jednorazowy kod przy każdym logowaniu.
W kilku słowach…
- Już dzisiaj zmień swoje hasło na Facebooku. Nie czekaj, aż Facebook się z Tobą skontaktuje i poinformuje o ewentualnych nadużyciach w zakresie bezpieczeństwa.
- Włącz dwuskładnikowe uwierzytelnianie podczas logowania (2FA), jeśli jeszcze tego nie zrobiłeś: zarówno na Facebooku jak i na Instagramie – pamiętaj: przezorny zawsze ubezpieczony!
- Jeśli używasz do logowania do Facebooka takich samych bądź bardzo podobnych haseł jak do innych portali i aplikacji, również niezwłocznie zmień swoje hasło.
Zostaw komentarz