IT-новости

Способ хранения паролей — базовый вопрос безопасности. Тем не менее, время от времени достоянием общественности становятся скандалы, связанные с тем, что те или иные большие или малые компании хранили пароли своих пользователей в обычных текстовых файлах, без всякого хеширования или шифрования. Заподозрить в подобной практике такого интернет-гиганта, как Facebook*, сложно, но последняя информация развеивает оптимистичные предположения.

Вице-президент по проектированию, безопасности и конфиденциальности Facebook* Педро Канахуати (Pedro Canahuati) опубликовал недавно заметку о проблемах безопасности крупнейшей Социальной сети. В январе в рамках обычной проверки безопасности компания обнаружила, что некоторые пароли пользователей хранились в обычном читаемом формате на внутренних системах хранения данных. Это совершенно нестандартная ситуация: Facebook* хеширует пароли, так что они хранятся в нечитаемом виде. Специалисты исправили эту проблему и в качестве меры предосторожности уведомят всех, чьи пароли хранились таким образом.

Господин Канахуати подчёркивает, что эти пароли не были доступны никому за пределами Facebook*. Более того, не было обнаружено никаких свидетельств, что паролями неправомерно пользовались сотрудники социальной сети. Интересно, что проблема достаточно масштабна: по оценкам компании, она затрагивает сотни миллионов пользователей Facebook* Lite, десятки миллионов других пользователей Facebook* и десятки тысяч пользователей Instagram*. Facebook* Lite — это версия мобильного приложения, используемого преимущественно в регионах с дорогим трафиком.

Хотя пароли пользователей не были раскрыты никакими внешними сторонами, и Facebook* не нашла доказательств злоупотребления на сегодняшний день, она предложила пользователям несколько шагов, которыми те могут обеспечить безопасность своей учётной записи:

• изменить пароль в настройках Facebook* и Instagram* (желательно не использовать повторно старые пароли);
• выбирать надёжные и сложные пароли для всех учётных записей (в этом могут оказать помощь менеджеры паролей);
• активировать ключ безопасности или двухфакторную аутентификацию, чтобы защитить учётную запись Facebook*, используя коды из стороннего приложения для идентификации.

«В ходе нашего исследования мы анализировали также способы хранения некоторых других категорий информации, таких как токены доступа, и исправляли проблемы по мере их обнаружения. Для нас нет ничего более важного, чем защита информации пользователей, и мы продолжим вносить улучшения в рамках наших постоянных усилий по обеспечению безопасности в Facebook*», — отметил руководитель.

* Внесена в перечень общественных объединений и религиозных организаций, в отношении которых судом принято вступившее в законную силу решение о ликвидации или запрете деятельности по основаниям, предусмотренным Федеральным законом от 25.07.2002 № 114-ФЗ «О противодействии экстремистской деятельности».