Felhasználói jelszavak millióit tárolta cleartext-ben a Facebook belső adattároló rendszerén

Titkosítás, biztonság, privát szféra

As part of a routine security review in January, we found that some user passwords were being stored in a readable format within our internal data storage systems. [...] To be clear, these passwords were never visible to anyone outside of Facebook and we have found no evidence to date that anyone internally abused or improperly accessed them. We estimate that we will notify hundreds of millions of Facebook Lite users, tens of millions of other Facebook users, and tens of thousands of Instagram users.

A vállalat azt ígéri, hogy a "néhány" (értsd: akár több száz millió) érintett felhasználót értesíteni fogja. Részletek itt.

( Gyuszk v | 2019. 03. 22., p – 10:27 )

"were never visible to anyone outside of Facebook"

Szerencsére csak ~30 ezren dolgoznak ennél a társaságnál.

szerk.: bámulatos hogy mennyire immunis a cég megítélésére, teljesítményére hogy hetente kiderül hogy teljesen nyitott átjáróházként működnek.

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/motog4_athene

Ember/penz ezeknel valoszinubb hogy van,
es valoszinubb hogy nem jelszo lopasbol kell
kistiluen bunozniuk.

A jelszavak dilemaja, hogy menyi CPU/GPU/..-t akkarsz
rakolteni hashelesre ill. hogy mit tudsz betolni cache
szeru mukodesnek ami olcsobb.

1G password check/day 30ms hash idovel, ~350 CPU core-t igenyel.

Lopott salted shadow fileok megfejesenel a dragabb hashales biztonsagosabb.
Lehet salted hash-t 5000* gyorsabban is csinalni..
Paranoidok szerint 10* tobb idot kene raforditani.

Amit nem lehet megirni assemblyben, azt nem lehet megirni.

( hunludvig v | 2019. 03. 22., p – 10:31 )

Tegye fel a kezet, aki meglepodott!

Hát, csak azt tudom elképzelni, hogy egy független audit miatt kibukhatott volna (archivált adatokból nehezen vagy csak sok munkával tudták volna törölni) és damage control, de simán el tudom képzelni, hogy jó sajtóért cserébe maguktól próbáltak tenni a ügy érdekében.

Bármi elképzelhető.

--
trey @ gépház

Persze, hogy egy másik plain text fájlba rakják a jelszavakat :)

Apropó, mióta lett a plain text clear text? Vagy van dirty text is? Mindennek új nevet kell adni ebben a mocsok marketing világban...
---
Why use Windows, if you have open doors… to Linux

A cleartext azt jelenti a kriptográfiában, hogy nem kódolt olvasható szöveg, nem kódolva tárolt és továbbított.
A plaintext azt jelenti a kriptográfiában, hogy nem kódolt olvasható szöveg, de kódolandó, egy kódoló algoritmus bemenete, vagy egy dekódoló kimenete.
A plain text azt jelenti, hogy a szöveg nem binárisan tárolt, hanem karakteresen. Vagy azt, hogy nem formázott szöveg. Vagy vmi ilyesmi.

( freeoli v | 2019. 03. 22., p – 10:50 )

Vagy totál kamu NSA szervezet a Facebook vagy csak játsszák a nagy expertet és kókányolnak mait csak tudnak.

( RaptoR | 2019. 03. 22., p – 11:54 )

"There is nothing more important to us than protecting people’s information (...)"

Egy könnycseppet elmorzsoltam.

Egyébként ha egy pillanatra elhisszük, hogy ez tényleg véletlen volt, akkor hogy lehet ilyet összehozni? Benne maradt a kódban egy tesztelésre szánt függvény, ami plaintextben mentette el a jelszót, de csak egy adott (vagy véletlenszerűen kiválasztott) csoportnál?

( suckit | 2019. 03. 22., p – 12:02 )

Nem tudom mit vártatok egy rakás PHP Pistikétől :)

( SzBlackY | 2019. 03. 22., p – 12:25 )

Nekem ez a kedvencem belőle:

that lets us irreversibly replace your actual password with a random set of characters.

Oké, hogy átlagparasztnak szól, akinek már egy rot13-al kódolt Lorem ipsum (Yberz vcfhz) is random karaktersorozatnak tűnik, de azért no...

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

( toMpEr | 2019. 03. 22., p – 12:27 )

Pár napja gearbest:

https://www.vpnmentor.com/blog/gearbest-hack/

An open database filled with personal information can compromise users’ safety online. The records we saw show full sets of unencrypted data, including email addresses and passwords.

We accessed these databases in March 2019, and discovered 1.5+ million records.
Gearbest’s database isn’t just unsecured. It’s also providing potentially malicious agents with a constantly-updated supply of fresh data.

( saxus | 2019. 03. 22., p – 12:29 )

Jajajaj, plaintext jelszavak! ZOMGZOMGZOMG!!!!!

Miért, tán minden mást titkosítva tárolnak? Nevek, kontaktok, messenger üzenetek, stb?

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Nem, a kulcstárolós master race olyan jelszókezelő alkalmazást használ ami egy offline fájlban tárolja a jelszavakat. Tehát nem valami public cloudban, hanem a sima cé meghajtón ;)
Ez a fájl természetesen titkosítva van leírva amit a jelszókezelő tud feloldani a megfelelő mesterjelszó vagy egyéb kulcs segítségével.

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/motog4_athene

( YleGreg | 2019. 03. 22., p – 15:17 )

Csak a flame kedvéért, egy copy-paste hozzászólás tőlem:

Most komolyan, nem tök mindegy hogyan tárolják?

És mi van ha kiderül he? Mi a legrosszabb?
Statisztikiai alapon kimutatható, hogy életünk minden szennyese nagyjából tök ugyanolyan mindenkinél, ahogy a csajok is, hiszen régi mondás, hogy: Némely nő mind egyforma!

Szex, drog, rock szubkultúra után szabadon, mi a legcikibb dolog ami kiderülhet rólad? Mondjuk, hogy Lagzi Lajcsit hallgatsz? Ja. talán ez még megüti az ingerküszöböt, ezért még kiröhöghetnek a barátaid. Az, hogy a néger vagy ázsiai nőkre buksz, vagy hogy néha tekersz egy spanglit a haverokkal, ez pont egy vállrántásnyira érdekel bárkit.

Betöréstől félsz? Azt úgyis a guglitól lopják el, hogy mikor hol vagy, mert a telefonod többnyire magával visz téged, akárhova is megy. De a posztjaidból úgyis kiderül, ha a kanári szigetekkel menőzöl. Az általad a lakásodba telepített kínai security camera meg a lukas firmware-vel nyílván azoknak lesz hasznos akik ebből élnek, és nem neked. Ja, hogy te nem olcsó kínai bizbaszt vettél, hanem brand terméket? Okés, akkor drágán vetted a biztonsági rést, nem nagy cucc, ha telik rá, akkor miért ne?

Most komolyan, azt hiszitek, hogy az adatbázisban meglévő életszilánkokból egy közepesen idióta AI nem tudna összerakni egy legalább kétszer olyan érdekes embert, mint akárki? A te személyiséged digitális lenyomata annyit sem ér mint amennyibe a tárolása kerül, kivétel, ha te fizeted meg. Ugye tudod, hogy te fizeted meg? Mint reklám célpont, te vagy a termék. Miért baj, ha a vásárló, vagyis a hirdető többet tud meg a termékről, vagyis rólad?!
Addig örülj ameddig nem égetnek QR kódot a seggedre!

Nah. Tessék megszokni, hogy ami az interneten van, az publikus.
Minden cég pénzből él, és te vagy az amit adnak-vesznek, ergo az adataid csak addig nem teljesen nyilvánosak, ameddig ez más valakinek jó. Hogy neked mi a jó, azt nagyon szívesen meghallgatja a lelki segély vonal, de siess ha emberrel akarsz beszélni, mert pár év és ott is csak az AI fog beszélgetni veled, hogy kiegészíthesse a profilodat.

Gibson, b4zmeg, pedig te szóltál, csak nem figyeltünk...

Azért én nem egyszerűsíteném le ennyire. A falu lakói meg a facebook userei csak látszólag adnak átfedést, hiszen a facebookon (akár) nagy cégek online accountjai is működnek, amik viszik a marketinget, PR-t, online, facebookos ügyfélszolgálatot. Komoly kárt okozhat, ha illetéktelen átveszi ezt a fiókot és nem a cég jóhírét keltő magatartást folytat. Arról nem is beszélve hogy a cég ügyfeleivel folytatott beszélgetések is kiolvashatók így, ... szóval messzire vezet ez. De hasonló példa lehet fajsúlyos közszereplők, politikusok fiókjainak eltulajdonítása is. Persze a legátlagosabb ember online accointjai fabatkát se érnek semmilyen szempontból, de ettől még joga van a magánszférához.

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/motog4_athene

( juliusk | 2019. 03. 22., p – 18:50 )

Az ilyen hírekben én azt imádom, hogy közben pontosan tudom, hogy az ilyen multik egyébként orbitális pénzeket szórnak ki a különböző itsec auditor cégeknek, tanácsadóknak, szagembereknek, az alkalmazottak válogatott módon vannak szétszopatva mindenféle policykkal, stb. Na, kb. ennyit ér az egész.

De nem baj, úgyis le lesz vonva a konklúzió, hogy nem elég az itsec szagértelem a cégnél, még többet kell beleinvesztálni. Majd a gazdasági osztályon "költség optimalizálnak", leépítenek+outsourceolnak, hogy aztán Gupta és Kumar az n+1. almodul fejlesztése közben a sprint legvégén SOS ellenőrizetlenül beleköhintsen a kódba megint valami hasonlóan tróger dolgot, mint ez a plaintext jelszótárolás. :^)

( hop1 v | 2019. 03. 22., p – 20:00 )

Hát a facebookra egyébként sem bíz az ember érzékeny adatokat. Már csak azért sem, mert a belső policy-ja szerint sincs semmi védelem. Minden dolgozó hozzáférhet mindenhez, persze ha olyan helyen kutakodik, ami nem szükséges a munkájához, az kirúgással jár. De ... Én ennek tudatában bánok a fb-kal. :)

( hajbazer v | 2019. 03. 23., szo – 12:36 )

Ismerve a cég arrogáns hozzáállását az egész privacy témakörhöz, illetve a felhasználói adatok kezeléséhez, egyértelmű, hogy valamilyen körülmény rákényszerítette őket a nagy™ álszent vallomásra. A mostanában sűrűsödő balhék miatt nyilván leszóltak nekik befektetőék, hogy legalább a csontvázakat tároló szekrényajtókat zárják kulcsra, tartva egy sokkal nagyobb presztízs- és extraprofit-veszteséget potenciálisan okozó külső vizsgálattól.