Skip to main content

Το Facebook αποθήκευε επί χρόνια τους κωδικούς χρηστών σε plain text

Από χθες το βράδυ το Facebook βρίσκεται εκ νέου στη δίνη ενός ακόμη σκανδάλου που σχετίζεται με την ασφάλεια των προσωπικών δεδομένων των χρηστών.
 
Ούτε λίγο ούτε πολύ το Facebook παραδέχθηκε ότι τον Ιανουάριο του 2019 εντόπισε ένα σφάλμα στα συστήματα αποθήκευσης των κωδικών πρόσβασης των χρηστών στους προσωπικούς τους λογαριασμούς. Το σφάλμα εντοπίζεται στο γεγονός ότι τα passwords αποθηκεύονταν σε μορφή plain text, δηλαδή χωρίς καμία κωδικοποίηση με αποτέλεσμα οποιοσδήποτε αποκτούσε πρόσβαση να μπορεί να διαβάσει και τα passwords. Χωρίς καμία περαιτέρω προσπάθεια. 
 
Το συγκεκριμένο πρόβλημα ασφαλείας επηρέασε «εκατοντάδες εκατομμύρια χρηστών του Facebook Lite (σ.σ. δηλαδή της ελαφρύτερης έκδοσης της εφαρμογής), δεκάδες εκατομμύρια χρηστών του Facebook και δεκάδες χιλιάδες χρηστών του Instagram» αναφέρει στην ανακοίνωσή της η εταιρεία.
 
Όπως αποκάλυψε στο προσωπικό του blog ο ειδικός σε θέματα κυβερνοασφάλειας και δημοσιογράφος Brian Krebs, το πλέον σοκαριστικό στοιχείο στην όλη υπόθεση είναι ότι η εταιρεία αποθήκευε χωρίς κωδικοποίηση κρίσιμους κωδικούς προσωπικών λογαριασμών χρηστών από το 2012. Στην ίδια ανάρτηση ο Krebs αποκάλυψε επίσης ότι σχεδόν 20.000 υπάλληλοι του Facebook είχαν πρόσβαση στα «ανοικτά» αρχεία κωδικών ενός αριθμού από 200 έως 600 εκατομμύρια χρήστες. 
 
Ωστόσο, ο Krebs που πρώτος αποκάλυψε το θέμα εξήγησε ότι α αρχεία καταγραφής πρόσβασης δείχνουν ότι περίπου 2.000 μηχανικοί ή προγραμματιστές πραγματοποίησαν περίπου 9 εκατομμύρια εσωτερικές αναζητήσεις για στοιχεία δεδομένων που περιείχαν κωδικούς πρόσβασης χρηστών σε plain text. Μάλιστα, ως πηγή της πληροφόρησής του επικαλείται πρόσωπο που εργάζεται για το Facebook και που προφανώς έχει γνώση του θέματος.
 
Σε απάντηση προς το blog KrebsOnSecurity, μηχανικός του Facebook δήλωσε ότι: «Δεν έχουμε εντοπίσει μέχρι στιγμής περιπτώσεις στις έρευνές μας, όπου κάποιος έψαχνε σκόπιμα για κωδικούς πρόσβασης, ούτε βρήκαμε ενδείξεις κατάχρησης αυτών των δεδομένων. Διαπιστώσαμε μόνο ότι αυτοί οι κωδικοί πρόσβασης καταγράφηκαν ακούσια αλλά ότι δεν υπήρχε πραγματικό κίνδυνος που να προέρχεται από αυτό».
 
Το θέμα προς το παρόν διερευνάται εσωτερικά από το Facebook, αλλά εντύπωση προκαλεί το γεγονός ότι δεν έχει εκδοθεί ανακοίνωση προς τους χρήστες να αλλάξουν τους κωδικούς πρόσβασης για να αποτρέψουν τυχόν μελλοντικές καταχρήσεις. Το σίγουρο είναι ότι ο χρήστης θα πρέπει να αλλάξει τον κωδικό πρόσβασής του μόνο αν λάβει σχετική ειδοποίηση από το Facebook, ενώ σε κάθε περίπτωση θα πρέπει να ενεργοποιηθεί ο έλεγχος ταυτότητας δύο παραγόντων.
 
Τέλος, αλγεινή εντύπωση προκαλεί το γεγονός ότι το Facebook παραδέχθηκε το πρόβλημα μόνο μετά την διαρροή του από το προσωπικό blog του Brian Krebs, ενώ από την επίσημη ανακοίνωση φαίνεται ότι το κενό ασφαλείας είχε διαπιστωθεί ήδη από τον Ιανουάριο του 2019. Δηλαδή πριν από τρεις ολόκληρους μήνες. Προφανώς το Facebook θα μπορούσε να ενημερώσει τους χρήστες πολύ νωρίτερα, αλλά επέλεξε να μην το κάνει.