Intéressant

Facebook a stocké des centaines de millions de mots de passe sous forme de texte non masqué

Facebook a stocké des centaines de millions de mots de passe sous forme de texte non masqué

Dans une révélation étonnante aujourd'hui, Facebook a reconnu qu'il avait accidentellement stocké des centaines de millions de mots de passe d'utilisateurs sur les serveurs internes de l'entreprise sous forme de texte brut démasqué remontant à 2012.

Mots de passe utilisateur laissés exposés en texte brut sur les serveurs internes de l'entreprise

Dans une déclaration publiée aujourd'hui, Pedro Canahuati, vice-président de l'ingénierie, de la sécurité et de la confidentialité de Facebook, a confirmé que lors d'un examen de sécurité de routine en janvier dernier, Facebook avait découvert que «certains mots de passe d'utilisateurs» étaient stockés en interne par Facebook en texte brut non masqué.

VOIR AUSSI: ELON MUSK SUPPRIME TOUS LES COMPTES FACEBOOK DE SES ET DE SES ENTREPRISES

«Cela a attiré notre attention parce que nos systèmes de connexion sont conçus pour masquer les mots de passe à l'aide de techniques qui les rendent illisibles», a déclaré Canahuati. «Nous avons résolu ces problèmes et par précaution, nous informerons toutes les personnes dont les mots de passe que nous avons trouvés ont été stockés de cette manière.»

"C'est quelque chose qui aurait dû être capturé il y a des années. Pourquoi pas?"

La cause de l'échec du masquage - les mots de passe sont généralement chiffrés à l'aide d'un processus appelé hachage qui transforme le texte lisible en charabia - était le résultat d'ingénieurs en logiciel qui ont apparemment créé des applications sur leur plate-forme qui, par une série apparente d'erreurs, ont fini par enregistrer le non masqué. , des mots de passe lisibles et les consignés en interne sans les hacher correctement.

Initialement signalé parKrebs sur la sécurité, La reconnaissance de Canahuati selon laquelle «certains» utilisateurs ont été touchés pourrait être considérée comme un euphémisme. Selon Krebs, entre 200 et 600 millions d'utilisateurs de Facebook ont ​​vu les mots de passe de leurs comptes Facebook exposés, certains datant de 2012.

Facebook reconnaît que les mots de passe concernés comptent parmi les centaines de millions d'utilisateurs de Facebook Lite - une version de Facebook conçue pour être accessible à ceux qui ont une mauvaise connectivité ou des appareils bas de gamme -, des dizaines de millions d'utilisateurs réguliers de Facebook et des dizaines de milliers d'Instagram utilisateurs.

Mots de passe visibles et consultables par plus de 20 000 employés de Facebook

Canahuati dit que «ces mots de passe n'ont jamais été visibles par quiconque en dehors de Facebook et nous n'avons trouvé à ce jour aucune preuve que quiconque les ait abusés en interne ou y ait mal accédé.»

L'enquête est toujours en cours, cependant, et il n'y a aucun moyen de connaître la véracité de ces assurances étant donné les coups répétés à la crédibilité de l'entreprise au cours de la dernière année et demie en ce qui concerne les problèmes de confidentialité et de sécurité des données. Ce que nous savons, c'est que ces mots de passe peuvent avoir été accessibles et récupérables via la recherche par les plus de 20 000 employés de Facebook ayant accès au serveur interne de Facebook où les mots de passe ont été stockés.

C'est beaucoup trop de pouvoir sur la confidentialité des utilisateurs et la sécurité des données pour un employé de Facebook, aussi bien intentionnés soient-ils.

Un employé anonyme de Facebook a raconté Krebs que «les journaux d'accès ont montré que quelque 2 000 ingénieurs ou développeurs ont effectué environ neuf millions de requêtes internes pour des éléments de données contenant des mots de passe utilisateur en texte brut.»

Dans une interview avec Krebs, un deuxième employé de Facebook, l'ingénieur logiciel Scott Renfro, déclare que jusqu'à présent, rien n'indique que quiconque ait délibérément tenté de collecter ces données de mot de passe.

«Nous n’avons trouvé à ce jour aucun cas dans nos enquêtes où une personne recherchait intentionnellement des mots de passe, et nous n’avons pas non plus trouvé de signes d’utilisation abusive de ces données», a déclaré Renfro. "Dans cette situation, nous avons découvert que ces mots de passe ont été enregistrés par inadvertance, mais qu'il n'y avait aucun risque réel qui en découle. Nous voulons nous assurer que nous réservons ces étapes et ne forcer le changement de mot de passe que dans les cas où il y a certainement eu des signes d'abus. "

Bien qu'il puisse s'agir de requêtes sans rapport avec un autre objectif légitime et qu'aucun préjudice ne puisse en provenir, Facebook nous demande essentiellement de nous croire sur parole.

Il est littéralement incroyable que cela soit simplement passé entre les mailles du filet pendant des années

Si je peux éditorialiser un peu ici, dire que cela n'aurait pas dû se produire, c'est sous-estimer l'affaire de quelques ordres de grandeur.

Les dysfonctionnements logiciels se produisent tout le temps, il faut s'y attendre et parfois cela peut prendre beaucoup de temps pour découvrir la cause d'un dysfonctionnement logiciel particulièrement subtil; une paire égarée de{ } les crochets dans un morceau de code peuvent changer radicalement le comportement d'un programme même si le programme semble fonctionner correctement.

Un bot peut effectuer très rapidement 9 millions de requêtes sur une base de données s'il utilise un processeur suffisamment puissant, ce que les employés de Facebook possèdent sans aucun doute. Facebook stocke également une quantité insondable de données brutes sur ses serveurs. Cela étant, ces 9 millions de recherches ne représentent probablement qu'une très petite partie des requêtes effectuées par les employés de Facebook sur une période de plusieurs années. Il est tout à fait compréhensible qu'une si petite taille d'échantillon rende la détection de l'exposition du mot de passe n'est pas une garantie.

"Jusqu'à présent, nous n'avons trouvé aucun cas dans nos enquêtes où quelqu'un cherchait intentionnellement des mots de passe, et nous n'avons pas non plus trouvé de signes d'utilisation abusive de ces données." - Ingénieur logiciel Facebook Scott Renfro, entretien avec KerbsOnSecurity

Il est également probable que les ingénieurs et les développeurs qui ont effectué ces requêtes aient récupéré un nœud de données contenant des informations utilisateur, y compris les mots de passe non masqués, et n'ont même jamais regardé les données qu'ils cherchaient à interroger. Les programmeurs peuvent simplement utiliser un script ou une fonction pour prendre les données d'un champ de données spécifique et indépendant du nœud de données d'un utilisateur exposé et les alimenter directement dans le programme sur lequel ils travaillaient.

Dans ce cas, ils pourraient faire des millions de requêtes par heure et ne jamais avoir à consulter une seule ligne de données utilisateur, encore moins les mots de passe exposés.

La nature de ce type de programmation peut rendre difficile la recherche d'un bogue comme celui-ci en regardant le code et en traçant la logique de votre programme. Les systèmes sont tout simplement trop complexes pour que cela soit une possibilité et les problèmes avec les entrées - en particulier les entrées entrées par l'utilisateur comme les mots de passe - font partie des défis les plus imprévisibles que les programmeurs doivent essayer d'anticiper lors de la conception de logiciels.

Ces types de problèmes imprévisibles sont précisément la raison pour laquelle des bibliothèques entières d'API de test sophistiquées ont été créées. Grâce à l'automatisation, vous pouvez tester un module logiciel à travers des millions de répétitions en utilisant différentes entrées pour tester votre module et essayer de le casser, exposant ainsi des vulnérabilités cachées avant de déployer le logiciel.

De même, vous pouvez introduire des millions d'entrées différentes dans une fonction et valider que la sortie est ce qu'elle devrait être; comme, je ne sais pas, peut-être si un mot de passe passé dans une fonction de hachage renvoie réellement un mot de passe crypté. Bien sûr, aucun test n'est parfait, et rien ne peut être sécurisé à 100%, mais ce n'est pas une occurrence exceptionnellement rare qui a exposé quelques centaines de mots de passe comme un test non masqué et simple comme une offrande au Dieu des nombres aléatoires.

Facebook compte environ 2,5 milliards d'utilisateurs mensuels actifs, de sorte que les 200 à 600 millions d'utilisateurs dont les mots de passe ont été exposés représentent, dans une approximation approximative du pourcentage du nombre total d'utilisateurs de Facebook, environ 8 à 24% de la base d'utilisateurs mensuelle active de Facebook.

C'est un pourcentage énorme qui est passé entre les mailles du filet pendant des années. Il n'est tout simplement pas possible que ces mots de passe non masqués en texte brut ne se soient pas présentés lors des types de tests rigoureux dont vous avez besoin lorsque vous traitez avec quelque chose d'aussi sensible que les données de mot de passe stockées. Le fait que ces mots de passe non masqués en texte brut aient été «manqués» par certaines des équipes d'assurance qualité, des analystes de sécurité et des développeurs les plus «élitistes» qui accèdent à ces éléments de données à des fins apparemment sans rapport est une véritable déception.

Même si chacun des mots de passe exposés représentait un utilisateur qui a quitté ses comptes de réseaux sociaux des années plus tôt, cela n'aurait pas d'importance. Les données étaient toujours là, entièrement accessibles par les employés internes, agitant un drapeau rouge pour que quiconque prenne la peine de regarder. C'est quelque chose qui aurait dû être pris il y a des années. Pourquoi pas?

Enfer, un robot exécutant un algorithme regex sur les champs de mots de passe des utilisateurs contenus dans le fichier de données d'un utilisateur pendant moins d'un jour aurait détecté que des mots reconnaissables apparaissaient dans les mots de passe des utilisateurs et déclenché des alarmes concernant cette erreur de sécurité; les mots de passe masqués ne contiennent pas les mots bronco, patriot ou ILoveBetoORourkeABunch.

Vérifier des milliards de comptes d'utilisateurs pour des modèles reconnaissables dans les mots de passe stockés qui auraient exposé cette vulnérabilité semble être un travail considérable, mais c'est littéralement ce que les algorithmes de Facebook font à chaque instant de chaque jour. Ce type d'analyse de données est exactement ce que Facebook existe sur cette Terre pour faire, mais il semble qu'ils préfèrent de loin laisser leurs algorithmes lâches sur nos données pour essayer de déterminer quel type de vêtements nous aimons afin qu'ils puissent vendre nos préférences à annonceurs.

Facebook divulguera sans aucun doute plus d'informations sur cette faille de sécurité et ce qu'ils vont faire pour résoudre le problème, mais étant donné le récent scandale de Facebook autour des questions de confidentialité et de sécurité des données, ce n'est pas une évolution encourageante pour le moins. Le fait qu'il n'ait été découvert qu'en janvier après que les ingénieurs effectuant des tests de sécurité "de routine" aient vu que les mots de passe n'étaient pas masqués soulève la question de savoir pourquoi les tests de sécurité "de routine" précédents n'ont-ils pas révélé ce problème plus tôt?

Inutile de dire que le fait de ne pas sécuriser les données contenues dans des centaines de millions de comptes de leurs utilisateurs en laissant les clés de ces comptes - les mots de passe en texte clair non masqués - exposés sur les serveurs internes de l'entreprise est l'échec le plus spectaculaire de ce qui a déjà été une année et demie assez horrible pour Facebook.


Voir la vidéo: Jancovici: Climat, les leçons du choc Covid - Be Smart - 08102020 (Décembre 2021).