Kā informē vairāki avoti, atsaucoties uz datoru drošības ekspertu Braianu Krebsu (Brian Krebs) – sociālais tīkls FaceBook (FB) gadiem ilgi savu serveru iekšienē glabāja savu lietotāju paroles vienkārša, nešifrēta teksta veidā. Dažos gadījumos šī problēma aizsākās jau 2012. gadā. Skarot no 200 līdz 600 miljonus FB lietotāju. Vairumā gadījumos – tos, kuri bija lietojuši mobilo aplikāciju FaceBook Lite, kura paredzēta mobilajām ierīcēm ar ierobežotiem resursiem, tajā skaitā – lietošanai mobilo sakaru tīklos, kuri var nodrošināt tikai lēnu vai arī nestabilu Interneta savienojumu.

Braiana Krebsa informācijas avots FB iekšienē informēja arī, ka vairāk nekā 20 000 FB darbinieku bija leģitīma pieeja datnēm ar šīm parolēm, kurās varēja veikt arī datu meklēšanu.
Un ka aktivitātes reģistrācijas log-os bija fiksēts, ka apmēram 2000 inženieru vai programmatūras izstrādātāju apmēram 9 miljonus reižu bija veikuši datu elementu pieprasījumus no šīm datnēm, kas satur lietotāju paroles atklātā veidā.

Arī FaceBook nepalika parādā ar savu publisko paziņojumu.

Apgalvojot, ka (parasti) FB sekojot labākajām datu drošības tradīcijām, maskē lietotāju paroles jau konta ģenerēšanas laikā, tā, lai neviens (pat) uzņēmuma iekšienē nevarētu tās ieraudzīt.
Runājot datu drošības terminoloģijā – tās hešējot un “iesālot”.
Arī šāda procedūra ir iespējama.
Veidojot FB kontu, servera galā tiek ģenerēta arī nejaušo rakstzīmju kombinācija, jeb tā sauktais “sāls”. Kas arī tiek saglabāts pie lietotāja autentifikācijas datiem.
Ir ierasta prakse uz serveri autentifikācijai nesūtīt pašas paroles, bet gan to hešsummas, kas ir iegūtas lietotāja paroli apstrādājot kādu no kontrolsummu aprēķināšanas algoritmiem.
Neviens neliedz servera galā šai hešsumai pievienot klāt “sāli” un no iegūtā rezultāta vēlreiz aprēķināt hešsummu, ko saglabāt serverī turpmākai lietotāja autentifikācijai, atpazīšanai.
Tādā veidā nodrošinot saglabāto paroles datu praktisku neapgriezeniskumu.
Tajā pat laikā nodrošinot spēju pārliecināties, ka lietotājs ielogojas ar derīgu paroli.


Apzinoties, ka cilvēki ar parolēm var arī dalīties, izmantot tās atkārtoti un to, ka paroles var tikt nozagtas, FaceBook pielieto vēl papildus drošības pasākumus:

  • Piemēram, ja parole ir ievadīta pareizi, FB rīkojās atšķirīgi no ierastā, ja tas ir ticis darīts no agrāk nelietotas ierīces vai no neierastas (ģeogrāfiskas) vietas. Šajā gadījumā FB uzdos papildus pārbaudes jautājumu, lai pārliecinātos, ka lietotājs ir īstais FB konta saimnieks.

  • Cilvēki var pierakstīties, lai saņemtu brīdinājumus, gadījumos, kad kāds svešs mēģina lietot FB kontu.

  • Apzinoties, ka daži cilvēki atkārtoti izmanto vienu un to pašu paroli vairākos servisos, FB seko līdzi citu organizāciju sniegtajiem datu noplūdes paziņojumiem un publicētajām datu bāzēm ar nozagtajiem lietotāju kontu rekvizītiem. Gadījumā, ja FB atrod šādu nozagtu E-pasta un paroles kombināciju, nākošajā ielogošanās reizē FB savu lietotāju ved cauri paroles nomaiņas procedūrai.

  • Lai samazinātu atkarību no parolēm, FB ir arī ieviesis iespēju lietotāju kontiem pieslēgt klāt arī fiziskas drošības atslēgas.

FaceBook drošības uzslēgumi

Protams, tās nav lētas, jo to cenas lauvas tiesu veido drošības atslēgas apkalpošanas izmaksas visas šīs atslēgas pastāvēšanas ilgumā vai arī apkalpojošā uzņēmuma pastāvēšanas ilgumā.

Mūsu rīcībā ir dati, ka šīs fiziskās drošības atslēgas netiek zaudētas biežāk kā durvju atslēgas.
Un ka labāk šīs atslēgas ir iegādāties no oficiāli atzītiem šo drošības atslēgu dīleriem, lai ievērojami samazinātu iespēju, ka Jūs saņemiet drošības atslēgu kopiju, ne kopiju.

Ko būtu iespējams darīt?

Kopā ar FaceBook mēs iesakām:

  • Preventīvi nomainīt sociālo tīklu FaceBook un Instagram paroles, negaidot uzaicinājumu tās nomainīt. Vairoties izmantot atkārtoti vienu un to pašu paroli atšķirīgiem servisiem.

  • Lietot stipras un sarežģītas paroles.
    Protams, tās ir grūti iegaumēt.
    Bet neviens neliedz lietot nejaušo paroļu ģeneratoru un paroļu “maku” datorprogrammas.
    Priekšroku dodot tādām, kuras ir atvērto (programmu tekstu) primkodu, nolūkā izslēgt to, ka tajās būs iebūvētas apslēptas, lietotājiem nedraudzīgas funkcijas. Un tādām, kuras tiek izstrādātas gan priekš galda un klēpja datoriem, gan arī priekš mobilajām ierīcēm.
    Tā, lai paroļu “maka” datubāzi varētu lietot gan uz galda vai klēpja datora, gan uz mobilās ierīces.
    (Strikti ņemot tā nav īsti laba prakse – bet mūsdienās, kad steiga ir kļuvusi par ikdienu, tā ir labāk, jo šajā gadījumā praktiskos nolūkos tiek arī izveidota ikdienas lietošanā ērta paroļu “maka” datubāzes rezerves kopija. Jo labāk ir tā, nekā vispār bez nekā!)

  • Padomāt par 2 faktoru autentifikācijas ieviešanu, kā 2. autentifikācijas faktoru izvēloties fiziskas drošības atslēgas lietošanu.

    Protams – pastāv iespēja kā 2. autentifikācijas faktoru lietot pa mobilo telefonu atsūtītu SMS īsziņu.
    Mūsu rīcībā ir ziņas, ka šo 2. autentifikācijas faktoru par nedrošu ir atzinis ASV Nacionālais Standartu un Tehnoloģiju insttitūts (NIST).
    Tāpat mūsu rīcībā ir ziņas, ka atkarībā no mobilo sakaru tīkla un hakeru grupējuma, viņi spēj pārtvert līdz 6 no 7 saviem upuriem adresētajām SMS īsziņām…

 

Turpinājums

Pēdējās dienās FaceBook paroļu incidents ir ieguvis jaunu pavērsienus.

1.
ASV datu aizsardzības uzņēmums UpGuard informē par 2 jauniem gadījumiem, kad FaceBook lietotāju paroles bija brīvi pieejamas 3. personām.

Pirmais gadījums ir saistīts ar Meksikā esošo plašsaziņas uzņēmumu Cultura Colectiva, kas savas ziņas izplata sociālajos tīklos un ir orientēts uz Latīņamerikas iedzīvotāju auditoriju.
Šis uzņēmums glabāja trešajām personām brīvi pieejamā veidā 540 miljonus ierakstu – tajā skaitā detalizētus komentārus, atzīmes “patīk”, lietotāju reakciju, kontu vārdus, FaceBook identifikācijas datus. Šo datu lielums bija 146GB.

Otrais gadījums bija saistīts at FaceBook aplikāciju “At the Pool”.
Tās izstrādātāji glabāja savas rezerves kopijas nepilnīgi konfigurētā Amazon S3 (datu) “spainī”, kas ļāva trešajām personām redzēt svarīgus lietotāju datus, tajā skatā arī lietotāju paroles.

'At the Pool' datubāzes ekrānšāviņš

Atšķirībā Cultura Colectiva, riskam bija pakļautas apmēram 22 000 personas.
Lai gan “At the Pool” savu darbību pārtrauca 2014. gadā, ar “At the Pool” saistītais Amazon S3 (datu) “spainis” turpināja būt publiski pieejams vēl līdz 2019. gada 3. aprīlīm.

2.
informē programmatūras izstrādātājs un datu drošības speciālists E-Sushi, sociālais tīkls FaceBook (reģistrējot jaunu lietotāja kontu) prasa lietotājam sniegt sava E-pasta pieejas paroli.

FaceBook pieprasa lietotāja E-pasta paroli


Lai arī viens otrs lietotājs to neapzinās, šāda sociālā tīkla prasība ir nekas cits kā pret lietotāju vērsts pikšķerēšanas mēģinājums.