Felhasználói jelszavak millióit tárolta cleartext-ben a Facebook belső adattároló rendszerén

 ( trey | 2019. március 22., péntek - 11:16 )

As part of a routine security review in January, we found that some user passwords were being stored in a readable format within our internal data storage systems. [...] To be clear, these passwords were never visible to anyone outside of Facebook and we have found no evidence to date that anyone internally abused or improperly accessed them. We estimate that we will notify hundreds of millions of Facebook Lite users, tens of millions of other Facebook users, and tens of thousands of Instagram users.

A vállalat azt ígéri, hogy a "néhány" (értsd: akár több száz millió) érintett felhasználót értesíteni fogja. Részletek itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

"were never visible to anyone outside of Facebook"

Szerencsére csak ~30 ezren dolgoznak ennél a társaságnál.

szerk.: bámulatos hogy mennyire immunis a cég megítélésére, teljesítményére hogy hetente kiderül hogy teljesen nyitott átjáróházként működnek.

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/motog4_athene

Ha ilyeneket csinal az alexa top 500 eleme, alkarom -e tudni mi van alatta...


Amit nem lehet megirni assemblyben, azt nem lehet megirni.

Szerinted ezen múlik?

Ember/penz ezeknel valoszinubb hogy van,
es valoszinubb hogy nem jelszo lopasbol kell
kistiluen bunozniuk.

A jelszavak dilemaja, hogy menyi CPU/GPU/..-t akkarsz
rakolteni hashelesre ill. hogy mit tudsz betolni cache
szeru mukodesnek ami olcsobb.

1G password check/day 30ms hash idovel, ~350 CPU core-t igenyel.

Lopott salted shadow fileok megfejesenel a dragabb hashales biztonsagosabb.
Lehet salted hash-t 5000* gyorsabban is csinalni..
Paranoidok szerint 10* tobb idot kene raforditani.


Amit nem lehet megirni assemblyben, azt nem lehet megirni.

Tegye fel a kezet, aki meglepodott!

\o/ ...meglepődtem, hogy kiderült és nem tudták eltussolni :-)

Őőő, ezt ők vallották be. Ezt azért írjuk jóvá nekik!

--
trey @ gépház

Gondolom muszáj volt.

Hát, csak azt tudom elképzelni, hogy egy független audit miatt kibukhatott volna (archivált adatokból nehezen vagy csak sok munkával tudták volna törölni) és damage control, de simán el tudom képzelni, hogy jó sajtóért cserébe maguktól próbáltak tenni a ügy érdekében.

Bármi elképzelhető.

--
trey @ gépház

Persze, hogy egy másik plain text fájlba rakják a jelszavakat :)

Apropó, mióta lett a plain text clear text? Vagy van dirty text is? Mindennek új nevet kell adni ebben a mocsok marketing világban...
---
Why use Windows, if you have open doors… to Linux

"Apropó, mióta lett a plain text clear text? Vagy van dirty text is? Mindennek új nevet kell adni ebben a mocsok marketing világban..."

Amióta az eszem tudom, használják.

--
trey @ gépház

A cleartext azt jelenti a kriptográfiában, hogy nem kódolt olvasható szöveg, nem kódolva tárolt és továbbított.
A plaintext azt jelenti a kriptográfiában, hogy nem kódolt olvasható szöveg, de kódolandó, egy kódoló algoritmus bemenete, vagy egy dekódoló kimenete.
A plain text azt jelenti, hogy a szöveg nem binárisan tárolt, hanem karakteresen. Vagy azt, hogy nem formázott szöveg. Vagy vmi ilyesmi.

"A plain text azt jelenti, hogy a szöveg nem binárisan tárolt"

Hát azért utóvégre, de ... :)

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/motog4_athene

szorszalhasogatsz

Kihagytad az ebben a hírben éppen aktuális paintext formátumot, ami azt jelenti, hogy nem kódolt olvasható szöveg, nem kódolva tárolt és továbbított, viszont kikerülése esetén valakit seggbe fognak rúgni!

A clear text az encrypted ellentéte.

Nem keverendő a plaintext-tel, ami "formátum".

"mióta lett a plain text clear text? Vagy van dirty text is?"

A "clear" az nem "clean".

Ah, jogos! Mindenkinek köszönet a kimerítő értelmezésért.
---
Why use Windows, if you have open doors… to Linux

Vagy totál kamu NSA szervezet a Facebook vagy csak játsszák a nagy expertet és kókányolnak mait csak tudnak.

Szerintem a választ erre te is tudod.

----------------------------
Az emberiség valaha volt legnagyobb tévedése a dízel személyautó...

a két állítás között nem feltétlen kell „vagy” kapcsolatnak lenni

or != xor

Yay

"There is nothing more important to us than protecting people’s information (...)"

Egy könnycseppet elmorzsoltam.

Egyébként ha egy pillanatra elhisszük, hogy ez tényleg véletlen volt, akkor hogy lehet ilyet összehozni? Benne maradt a kódban egy tesztelésre szánt függvény, ami plaintextben mentette el a jelszót, de csak egy adott (vagy véletlenszerűen kiválasztott) csoportnál?

Én biztosan nem hiszem el még egy pillanatra sem.

----------------------------
Az emberiség valaha volt legnagyobb tévedése a dízel személyautó...

Nem tudom mit vártatok egy rakás PHP Pistikétől :)

Részemről pont ezt. A szomorú az, h van pénzük megvenni a jó embereket.

Tiszta jóindulat a részedről, hogy feltételezed, ez Pistikák pancserkedésének eredménye. :D

--
trey @ gépház

Sose becsuld ala az emberi hulyeseget.

"Sosem lehet eléggé lenézni a usereket"
- Facebook mottó
(szerintem)

Nekem ez a kedvencem belőle:

Idézet:
that lets us irreversibly replace your actual password with a random set of characters.

Oké, hogy átlagparasztnak szól, akinek már egy rot13-al kódolt Lorem ipsum (Yberz vcfhz) is random karaktersorozatnak tűnik, de azért no...

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Pár napja gearbest:

https://www.vpnmentor.com/blog/gearbest-hack/

An open database filled with personal information can compromise users’ safety online. The records we saw show full sets of unencrypted data, including email addresses and passwords.

We accessed these databases in March 2019, and discovered 1.5+ million records.
Gearbest’s database isn’t just unsecured. It’s also providing potentially malicious agents with a constantly-updated supply of fresh data.

Jajajaj, plaintext jelszavak! ZOMGZOMGZOMG!!!!!

Miért, tán minden mást titkosítva tárolnak? Nevek, kontaktok, messenger üzenetek, stb?

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

+1

A cleartext jelszóval csak azok a looserek vannak hátrébb, akik ugyanazt a jelszót használják mindenütt. A kulcstárolós master race-nek mindegy :-)

a kulcstárolós master race az az a személy, aki egy passwordmanagerre bízta az összes jelszavát, amit ugyancsak plain textben tárolnak valahol, csak legalább az összeset egyben?

> amit ugyancsak plain textben tárolnak valahol

what

Igen, a facebook kulcstárolóját használom :-)

Nem, a kulcstárolós master race olyan jelszókezelő alkalmazást használ ami egy offline fájlban tárolja a jelszavakat. Tehát nem valami public cloudban, hanem a sima cé meghajtón ;)
Ez a fájl természetesen titkosítva van leírva amit a jelszókezelő tud feloldani a megfelelő mesterjelszó vagy egyéb kulcs segítségével.

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/motog4_athene

Nem, a kulcstárolós master race külső, open-source usb kulcsot használ erre a célra. Így a mester-kulcs (vagy a determinisztikus seed) kiszivárgása megtört oprendszer esetén se lehetséges.

Bocs :)

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/motog4_athene

Meg azok, akik facebook logint használnak bárhol.

Szóval szerintem mondhatjuk nyugodtan, hogy az emberek 99%-a.

Csak a flame kedvéért, egy copy-paste hozzászólás tőlem:

Most komolyan, nem tök mindegy hogyan tárolják?

És mi van ha kiderül he? Mi a legrosszabb?
Statisztikiai alapon kimutatható, hogy életünk minden szennyese nagyjából tök ugyanolyan mindenkinél, ahogy a csajok is, hiszen régi mondás, hogy: Némely nő mind egyforma!

Szex, drog, rock szubkultúra után szabadon, mi a legcikibb dolog ami kiderülhet rólad? Mondjuk, hogy Lagzi Lajcsit hallgatsz? Ja. talán ez még megüti az ingerküszöböt, ezért még kiröhöghetnek a barátaid. Az, hogy a néger vagy ázsiai nőkre buksz, vagy hogy néha tekersz egy spanglit a haverokkal, ez pont egy vállrántásnyira érdekel bárkit.

Betöréstől félsz? Azt úgyis a guglitól lopják el, hogy mikor hol vagy, mert a telefonod többnyire magával visz téged, akárhova is megy. De a posztjaidból úgyis kiderül, ha a kanári szigetekkel menőzöl. Az általad a lakásodba telepített kínai security camera meg a lukas firmware-vel nyílván azoknak lesz hasznos akik ebből élnek, és nem neked. Ja, hogy te nem olcsó kínai bizbaszt vettél, hanem brand terméket? Okés, akkor drágán vetted a biztonsági rést, nem nagy cucc, ha telik rá, akkor miért ne?

Most komolyan, azt hiszitek, hogy az adatbázisban meglévő életszilánkokból egy közepesen idióta AI nem tudna összerakni egy legalább kétszer olyan érdekes embert, mint akárki? A te személyiséged digitális lenyomata annyit sem ér mint amennyibe a tárolása kerül, kivétel, ha te fizeted meg. Ugye tudod, hogy te fizeted meg? Mint reklám célpont, te vagy a termék. Miért baj, ha a vásárló, vagyis a hirdető többet tud meg a termékről, vagyis rólad?!
Addig örülj ameddig nem égetnek QR kódot a seggedre!

Nah. Tessék megszokni, hogy ami az interneten van, az publikus.
Minden cég pénzből él, és te vagy az amit adnak-vesznek, ergo az adataid csak addig nem teljesen nyilvánosak, ameddig ez más valakinek jó. Hogy neked mi a jó, azt nagyon szívesen meghallgatja a lelki segély vonal, de siess ha emberrel akarsz beszélni, mert pár év és ott is csak az AI fog beszélgetni veled, hogy kiegészíthesse a profilodat.

Gibson, b4zmeg, pedig te szóltál, csak nem figyeltünk...

Egyrészt ennyire nem egyszerű, másrészt ja, régen is tudott az egész falu mindenkiről mindent és igazából nem is volt baj, maximum az antiszociálisak könnyebben kirostálódtak.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Azért én nem egyszerűsíteném le ennyire. A falu lakói meg a facebook userei csak látszólag adnak átfedést, hiszen a facebookon (akár) nagy cégek online accountjai is működnek, amik viszik a marketinget, PR-t, online, facebookos ügyfélszolgálatot. Komoly kárt okozhat, ha illetéktelen átveszi ezt a fiókot és nem a cég jóhírét keltő magatartást folytat. Arról nem is beszélve hogy a cég ügyfeleivel folytatott beszélgetések is kiolvashatók így, ... szóval messzire vezet ez. De hasonló példa lehet fajsúlyos közszereplők, politikusok fiókjainak eltulajdonítása is. Persze a legátlagosabb ember online accointjai fabatkát se érnek semmilyen szempontból, de ettől még joga van a magánszférához.

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/motog4_athene

Az ilyen hírekben én azt imádom, hogy közben pontosan tudom, hogy az ilyen multik egyébként orbitális pénzeket szórnak ki a különböző itsec auditor cégeknek, tanácsadóknak, szagembereknek, az alkalmazottak válogatott módon vannak szétszopatva mindenféle policykkal, stb. Na, kb. ennyit ér az egész.

De nem baj, úgyis le lesz vonva a konklúzió, hogy nem elég az itsec szagértelem a cégnél, még többet kell beleinvesztálni. Majd a gazdasági osztályon "költség optimalizálnak", leépítenek+outsourceolnak, hogy aztán Gupta és Kumar az n+1. almodul fejlesztése közben a sprint legvégén SOS ellenőrizetlenül beleköhintsen a kódba megint valami hasonlóan tróger dolgot, mint ez a plaintext jelszótárolás. :^)

Hát a facebookra egyébként sem bíz az ember érzékeny adatokat. Már csak azért sem, mert a belső policy-ja szerint sincs semmi védelem. Minden dolgozó hozzáférhet mindenhez, persze ha olyan helyen kutakodik, ami nem szükséges a munkájához, az kirúgással jár. De ... Én ennek tudatában bánok a fb-kal. :)

Ismerve a cég arrogáns hozzáállását az egész privacy témakörhöz, illetve a felhasználói adatok kezeléséhez, egyértelmű, hogy valamilyen körülmény rákényszerítette őket a nagy™ álszent vallomásra. A mostanában sűrűsödő balhék miatt nyilván leszóltak nekik befektetőék, hogy legalább a csontvázakat tároló szekrényajtókat zárják kulcsra, tartva egy sokkal nagyobb presztízs- és extraprofit-veszteséget potenciálisan okozó külső vizsgálattól.

Gondolom, most is mi vagyunk (a) "dumb f*cks". (Mondjuk már évek óta nem vagyok arckönyvön, de valaha voltam, szóval... :D)

- - -
TransferWise

sub