Neschopnost Facebooku: síť ukládala hesla v plaintextu
21.3.2019, Milan Šurkala, aktualita
Sociální síť Facebook má za poslední rok opravdu hodně obrovských průšvihů a očividně to jen tak neskončí. Nyní se zjistilo, že stovky milionů uživatelů mělo svá hesla uložena v plaintextu a zaměstnanci společnosti k nim mohli mít přístup.
Někdy je opravdu s podivem, čeho všeho je sociální síť Facebook vlastně ještě schopna a skandálem s Cambridge Analytica to jen začalo. Podle zprávy od Krebs on Security a potvrzení samotného Facebooku totiž vyšlo najevo, že sociální síť ukládala hesla stovek milionů svých uživatelů v plaintextu. Jinak řečeno, v jasně čitelné podobě bez jakéhokoli hashování. Hashování je speciální funkce, která se běžně používá už pěknou řádku let ke zvýšení zabezpečení a zašifruje heslo do takové podoby, že je při případném hacku serveru v podstatě nerozluštitelné (resp. jen velmi těžko pomocí tzv. "brute force" útoku zkoušením všech možných kombinací, např. porovnáváním hashů).
Jde o jednosměrnou funkci, která heslo zašifruje, ale není jej možné rozšifrovat. Proto také většina webů nenabízí možnost zaslat zapomenuté heslo, protože to jednoduše ani nejde. Můžete dostat nové dočasné heslo a pak sami musíte zvolit nové, ale nelze zaslat to původní (internetem totiž putuje zahashovaná verze, kterou i při úniku nelze jen tak rozluštit a ani samotný web tak ze zahashované verze nedokáže dostat původní variantu - i při přihlašování pracuje jen s hashem). Pokud se ale někdo dostane k nezahashovanému heslu, nemusí nic řešit a má ho hned dostupné na zlatém podnose.
A právě to se stalo Facebooku. I když samotná hesla uživatelů byla v hlavních databázích sice zahashovaná, netýkalo se to všech záznamů. Už od roku 2012 obsahovaly systémy Facebooku velmi závažnou chybu, která v různých záznamech chybových provozních stavů ukládala hesla v čisté textové podobě, a to nepochopitelně po dobu několika let. Mnoho zaměstnanců Facebooku tak mohlo mít přístup k heslům uživatelů Facebooku, aplikace Facebook Lite i Instagramu a dle prvních odhadů takto mohla být kompromitována data 200 až 600 milionů uživatelů. Což je průšvih nevídaných rozměrů.
Na chybu se přišlo v lednu (díky auditu, který byl následkem hacku ze září) a už byla opravena. Facebook tvrdí, že k čistým heslům mohli mít přístup jen jeho zaměstnanci a dle něj zatím nedošlo k žádnému zneužití. I proto po uživatelích, jejichž hesla mohla být volně přístupná, nevyžaduje změnu hesla.
