פייסבוק שמרה מיליוני סיסמאות כטקסט רגיל וטוענת: "אבטחת המידע לא הופרה"

פייסבוק אחסנה מאות מיליוני סיסמאות – הן של משתמשי הרשת החברתית הליבתית שלה והן של משתמשי אינסטגרם שבבעלותה – במתכונת של טקסט רגיל על שרתיה.

על הדברים דיווח הבלוג KrebsOnSecurity, של עיתונאי הסייבר בריאן קרבס, ביום ה'. הבלוגר חשף שמספר לא ידוע של עובדי פייסבוק שעבדו על יישומים שונים במערכת האקולוגית של הענקית ממאנלו פארק הצליחו איכשהו להגיע למסד נתונים של סיסמאות משתמש, אשר היה מאוחסן, כשאינו מוצפן, על שרתי החברה.

לפי קרבס, מדובר בסיסמאות שמספרן מוערך בין 200 ל-600 מיליון ושבחלקן הן די "עתיקות". יש בהן גם כאלו משנת 2012.

על פי מה שנודע עד כה, לכ-20 אלף אנשים הייתה בפוטנציה גישה למאגר המסוים – אבל לא נמצאו הוכחות להפרת הנתונים בו, כך לפחות טוען מהנדס התוכנה של פייסבוק, סקוט רנפרו, ששוחח עם KrebsOnSecurity.

"יש לנו מקבץ בקרות שמנסות לצמצם את הבעיות הללו, ואנחנו בתהליך של חקירת שינויים בתשתית ארוכת טווח בכדי למנוע המשכיות של הדברים. אנו בודקים כעת את כל היומנים, ועלינו לראות אם חלו ניצול או גישה אחרת לנתונים אלה", אמר רנפרו לקרבס.

עם זאת, גורם אחר שמקורב לקרבס, וששמו לא פורסם, הוסיף כי כ-2,000 מהנדסים ומפתחים ביצעו 9 מיליון שאילתות פנימיות בעבור אלמנטים של נתונים שהכילו הסיסמאות ששומרו כטקסט רגיל.

פייסבוק תודיע למשתמשים שסיסמאותיהם נכללו במאגר

פייסבוק הגיבה לפרסום באופן מהיר, יחסית, בבלוג שלה ושם אמרה שהכשל המסוים נחשף כבר בינואר, כחלק מביקורת אבטחה שגרתית שמצאה כי כמה סיסמאות משתמש מאוחסנות בפורמט קריא בתוך מערכות אחסון נתונים פנימיים שלה.

"זה תפס את תשומת הלב שלנו בגלל שמערכות הכניסה שלנו נועדו להסוות סיסמאות באמצעות טכניקות שהופכות אותן לבלתי קריאות", נכתב בפוסט. "תיקנו את הבעיות הללו, וכאמצעי זהירות נודיע לכל מי שסיסמאותיו מאוחסנות בדרך זו", הוסיף פדרו קנהואטי, סמנכ"ל ההנדסה האבטחה והפרטיות של פייסבוק.

"עד כה לא מצאנו עדויות לכך שמישהו התעלל בהן (בססמאות – ג"פ) באופן בלתי חוקי או ניגש אליהן בצורה לא נכונה. אנו מעריכים כי נודיע על כך למאות מיליוני משתמשי Facebook Lite, לעשרות מיליוני משתמשי פייסבוק נוספים ולעשרות אלפי משתמשי אינסטגרם", הבהירה הענקית, שמדבריה ניתן היה ללמוד כי עיקר הנפגעים האופציונאליים מכשל האבטחה האחרון הם משתמשי פייסבוק לייט – גרסה "קלה" של פייסבוק הנטענת במהירות ומשמשת בעיקר אנשים באזורים עם קישוריות נמוכה.

חשיפות חמורות שממשיכות לפגוע בשמה הטוב

התנהלותה הקלוקלת של פייסבוק עם נתוניהם של המשתמשים זכתה לביקורת קשה במהלך השנה שעברה – זה התחיל עם הגילויים על שערוריית קיימברידג' אנליטיקה החמורה והמפורסמת; המשיך בחשיפה כי החברה ממאנלו פארק אפשרה לאפליקציות צד שלישי לקצור את נתוני המשתמשים ללא הסכמתם; כשאחר כך התבשרנו גם על כשלי סייבר חמורים שחוו שירותיה וחשפו מידע של מיליוני משתמשים למקורות לא רצויים.

בשולי הידיעות המאוד מטרידות הללו נחשפו גם כשלים מקוממים אחרים, כמו העובדה שהתגלתה מוקדם יותר החודש ושהקפיצה מעורם רבים – ניתן לחפש משתמשים על פי מספרי הטלפון הנייד שלהם בתוך הרשת החברתית, ובניגוד גמור להבטחת פייסבוק למשתמשים.

מלבד ביטחון החברים שלה בה, המוניטין של פייסבוק נפגע והדבר גם הביא לצניחה פיננסית ולאובדן של יותר מ-100 מיליארד דולרים בשווי מניותיה. מנכ"לה, מארק צוקרברג, קיבל על עצמו את מלוא האחריות לאירועים אלו והבטיח כי החברה שלו תנקוט בכל צעד אפשרי כדי לשמור על אבטחת הנתונים של המשתמשים.

הפרשיה החדשה וה"מינורית" לכאורה הזו היא עוד עדות לכך שהמשתמשים של פייסבוק לא יכולים להתרווח ולהיות רגועים ובטוחים שהדטה הפרטית שלהם נמצאת בידיים טובות. לפחות לא בינתיים.