Новый скандал на тему приватности и сохранности персональных данных разгорается вокруг Facebook и Instagram.
Вчера в официальном блоге Facebook была сделана публикация о том, что во время очередного исследования безопасности соцсети, специалисты обнаружили внутреннюю уязвимость, из-за которой пароли пользователей Facebook и Instagram хранились в незащищенном виде и были доступны для просмотра сотрудниками социальной сети.
Со слов Pedro Canahuati, ответственного за безопасность и приватность высокопоставленного сотрудника Facebook, данная внутренняя уязвимость уже «была устранена», а пользователи, чьи пароли могли быть скомпрометированы, «получат об этом оповещение».
Так же Pedro Canahuati упоминает, что «системы логина устроены таким образом, что маскируют пароли с использованием технологий, которые делают их нечитаемыми». Хорошее объяснение от высококвалифицированного специалиста, являющегося лицом крупнейшей в мире корпорации?
В публикации Pedro Canahuati подчеркнул, что данные пароли «никогда не были видны никому за пределами Facebook» и не было обнаружено никаких доказательств того, что кто-либо «злоупотребил доступом к этим данным».
Впрочем, не-обнаружение релевантности факта не отменяет вероятность его релевантности. И было бы странно, если корпорация Facebook признала эти факты публично, подтвердись они во внутреннем расследовании. Попытка сохранить лицо в таком случае выглядела бы еще более натянутой.
Тот самый Pedro Canahuati, который мог видеть в том числе ваш пароль.
Официальные представители Facebook и Pedro Canahuati явно лукавят. Несколько дней назад информация о внутренней уязвимости была опубликована в посвященном информационной безопасности блоге KrebsOnSecurity.
Общественность узнала печальные факты пренебрежения крупной корпорацией сохранностью паролей пользователей благодаря инсайдеру внутри Facebook, по данным которого упомянутые пароли хранились в незащищенном виде с 2012 года. Со слов инсайдера, в Facebook было известно об этой уязвимости. В публикации KrebsOnSecurity так же говорится о том, что «скомпрометированными оказались 200-600 миллионов пользователей Facebook, так как их пароли хранились в открытом виде и доступ к ним имели более чем 20000 сотрудников Facebook».
Дальнейших комментариев со стороны представителей Facebook не последовало. Другой сотрудник Facebook по имени Scott Renfro, взять интервью у которого удалось журналистам блога KrebsOnSecurity, отказался говорить о масштабах скомпрометированных учетных записей и количестве сотрудников, которые могли получить доступ к паролям пользователей.
Важным во всей этой истории остается факт, что информация о внутренней уязвимости была опубликована в блоге Facebook через несколько дней после того, как «неудобный» инсайд появился в блоге KrebsOnSecurity.
Из всей этой истории назревает несколько вопросов:
- Действительно ли в Facebook приняли меры по исправлению уязвимости?
- Действительно ли к паролям не имел доступ никто, кроме сотрудников социальной сети?
- Действительно ли получат оповещения все пользователи, чьи пароли были скомпрометированы?
- Стоит ли вновь ждать подобных новостей о корпорации, не раз пренебрегавшей приватностью пользователей?
- Будут ли в Facebook искать сотрудника-инсайдера, причинившего значительный ущерб деловой репутации компании и раскрывшего информацию о существовании уязвимости?
- Имеют ли сотрудники российских социальных сетей неофициальный (не баг, а фича) доступ к паролям пользователей?
Автор: Drebin893
