Способ хранения паролей — базовый вопрос безопасности. Тем не менее, время от времени достоянием общественности становятся скандалы, связанные с тем, что те или иные большие или малые компании хранили пароли своих пользователей в обычных текстовых файлах, без всякого хеширования или шифрования. Заподозрить в подобной практике такого интернет-гиганта, как Facebook, сложно, но последняя информация развеивает оптимистичные предположения.
Вице-президент по проектированию, безопасности и конфиденциальности Facebook Педро Канахуати (Pedro Canahuati) опубликовал недавно заметку о проблемах безопасности крупнейшей Социальной сети. В январе в рамках обычной проверки безопасности компания обнаружила, что некоторые пароли пользователей хранились в обычном читаемом формате на внутренних системах хранения данных. Это совершенно нестандартная ситуация: Facebook хеширует пароли, так что они хранятся в нечитаемом виде. Специалисты исправили эту проблему и в качестве меры предосторожности уведомят всех, чьи пароли хранились таким образом.
Господин Канахуати подчёркивает, что эти пароли не были доступны никому за пределами Facebook. Более того, не было обнаружено никаких свидетельств, что паролями неправомерно пользовались сотрудники социальной сети. Интересно, что проблема достаточно масштабна: по оценкам компании, она затрагивает сотни миллионов пользователей Facebook Lite, десятки миллионов других пользователей Facebook и десятки тысяч пользователей Instagram. Facebook Lite — это версия мобильного приложения, используемого преимущественно в регионах с дорогим трафиком.
Хотя пароли пользователей не были раскрыты никакими внешними сторонами, и Facebook не нашла доказательств злоупотребления на сегодняшний день, она предложила пользователям несколько шагов, которыми те могут обеспечить безопасность своей учётной записи:
- изменить пароль в настройках Facebook и Instagram (желательно не использовать повторно старые пароли);
- выбирать надёжные и сложные пароли для всех учётных записей (в этом могут оказать помощь менеджеры паролей);
- активировать ключ безопасности или двухфакторную аутентификацию, чтобы защитить учётную запись Facebook, используя коды из стороннего приложения для идентификации.
«В ходе нашего исследования мы анализировали также способы хранения некоторых других категорий информации, таких как токены доступа, и исправляли проблемы по мере их обнаружения. Для нас нет ничего более важного, чем защита информации пользователей, и мы продолжим вносить улучшения в рамках наших постоянных усилий по обеспечению безопасности в Facebook», — отметил руководитель.