في 21 آب (أغسطس) 2018 ، يتم عرض صورة ملف على صفحة بدء Facebook على هاتف ذكي في Surfside ، فلوريدا (AP Photo / Wilfredo Lee، File)
تركت شركة "فيسبوك" مئات الملايين من كلمات مرور المستخدمين قابلة للقراءة من قبل موظفيها لسنوات ، وفقًا لما أقرته الشركة يوم الخميس بعد أن كشف باحث أمني عن هذا الفاصل.
من خلال تخزين كلمات المرور بنص عادي مقروء ، انتهك Facebook ممارسات أمان الكمبيوتر الأساسية. هذه الدعوة للمؤسسات ومواقع الويب لحفظ كلمات المرور في نموذج مخلوط يجعل من المستحيل تقريبًا استرداد النص الأصلي.
وقال خبير الأمن السيبراني أندريه باريشيفيتش من "مستقبل مسجّل": "لا يوجد سبب وجيه يحتاج أي شخص في أي مؤسسة ، وخاصة حجم فيسبوك ، إلى الوصول إلى كلمات مرور المستخدمين بنص عادي".
قال Facebook إنه لا يوجد دليل على إساءة استخدام موظفيها للوصول إلى هذه البيانات. لكن الآلاف من الموظفين قد قاموا بتفتيشهم. وقالت الشركة إن كلمات المرور مخزنة على خوادم الشركة الداخلية ، حيث لا يمكن لأي شخص خارجي الوصول إليها. ومع ذلك ، اقترح بعض خبراء الخصوصية أن يغير المستخدمون كلمات مرور Facebook الخاصة بهم.
ويكشف هذا الحادث عن وجود رقابة ضخمة وأساسية أخرى على شركة تصر على أنها الوصي المسؤول عن البيانات الشخصية لمستخدميها البالغ عددهم 2.3 مليار مستخدم في جميع أنحاء العالم.
قالت مدونة الأمن KrebsOnSecurity إن فيسبوك ربما ترك كلمات مرور نحو 600 مليون مستخدم على فيسبوك عرضة للمخاطر. في إحدى التدوينات ، قال Facebook إنه من المحتمل أن يقوم بإخطار "مئات الملايين" من مستخدمي Facebook Lite ، وملايين مستخدمي Facebook وعشرات الآلاف من مستخدمي Instagram بأن كلمات المرور الخاصة بهم قد تم تخزينها بنص عادي.
Facebook Lite هو إصدار مصمم للأشخاص الذين لديهم هواتف قديمة أو اتصالات إنترنت منخفضة السرعة. يستخدم أساسا في البلدان النامية.
في الأسبوع الماضي ، وصف مارك زوكربيرج ، الرئيس التنفيذي لشركة Facebook ، "رؤية تركز على الخصوصية" الجديدة للشبكة الاجتماعية التي ستؤكد على التواصل الخاص عبر المشاركة العامة. ترغب الشركة في تشجيع مجموعات صغيرة من الأشخاص على إجراء محادثات مشفرة لا يمكن لفيسبوك ولا أي شخص آخر من الخارج قراءتها.
ومع ذلك ، فإن حقيقة أن الشركة لم تستطع أن تفعل شيئًا بسيطًا مثل تشفير كلمات المرور ، تثير أسئلة حول قدرتها على إدارة مشكلات التشفير الأكثر تعقيدًا - مثل المراسلة - بلا عيب.
قال Facebook إنه اكتشف المشكلة في يناير. لكن الباحث الأمني برايان كريبس كتب أنه في بعض الحالات تم تخزين كلمات المرور بنص عادي منذ عام 2012. تم إطلاق Facebook Lite في عام 2015 واشترى Facebook Instagram في عام 2012.
المشكلة ، وفقًا لموقع Facebook ، لم تكن بسبب خطأ واحد. أثناء المراجعة الروتينية في كانون الثاني (يناير) ، وجدت أنه تم العثور على كلمات مرور النص العادي وتخزينها عن غير قصد في أنظمة التخزين الداخلية. حدث هذا في مجموعة متنوعة من الظروف - على سبيل المثال ، عندما تعطل تطبيق وتضمن سجل التعطل الناتج كلمة مرور تم التقاطها.
لكن أليكس هولدن ، مؤسس Hold Security ، قال إن شرح Facebook ليس عذرًا لممارسات الأمان البطيئة التي سمحت لكشف الكثير من كلمات المرور داخليًا.
وقال باريسيفيتش من شركة Record Record Future إنه لا يمكنه أن يتذكر أي شركة كبرى اشتعلت بها تاركًا كلمات مرور كثيرة مكشوفة. وقال إنه شاهد عددًا من الحالات التي أتاحت فيها المنظمات الأصغر حجمًا هذه المعلومات بسهولة - ليس فقط للمبرمجين ولكن أيضًا لفرق دعم العملاء.
وقال محلل الأمن تروي هنت ، الذي يدير موقع "haveibeenpwned.com" لخرق البيانات ، إن الموقف قد يكون محرجًا على Facebook ولكنه ليس خطيرًا إلا إذا تمكن الخصم من الوصول إلى كلمات المرور. تعرض موقع Facebook للانتهاكات الكبرى ، وكان آخرها في سبتمبر عندما وصل المهاجمون إلى حوالي 29 مليون حساب.
قال جيك ويليامز ، رئيس Rendition Infosec ، إن تخزين كلمات المرور بنص عادي "للأسف أكثر شيوعًا من معظم محادثات الصناعة حول" ، ويميل إلى الحدوث عندما يحاول المطورون تخليص نظام من الأخطاء.
وقال إن نشر مدونة فيسبوك يشير إلى أن تخزين كلمات المرور بنص عادي قد يكون "ممارسة تخضع للعقوبات" ، رغم أنه قال إنه من المحتمل أيضًا أن يكون "فريق تطوير مارق" هو المسؤول.
شبّه كل من هنت وكريبس فشل فيسبوك بالعثرات المماثلة في العام الماضي على نطاق أصغر بكثير على Twitter و GitHub ؛ هذا الأخير هو موقع حيث المطورين تخزين رمز وتتبع المشاريع. في تلك الحالات ، تم إلقاء اللوم على أخطاء البرامج لتخزين كلمات مرور النص غير المقصود في السجلات الداخلية.
لاحظت الشركة يوم الخميس في منشور مدونتها أن الإجراء المعتاد لفيسبوك لكلمات المرور هو تخزينها مشفرة.
قال روب غراهام ، الباحث الأمني ، إنه من الجيد أن نعرف ، على الرغم من أن مهندسي Facebook أضافوا على ما يبدو كودًا هزم الحماية. وقال "لديهم كل الأقفال المناسبة على الأبواب ، لكن شخصًا ما ترك النافذة مفتوحة".
احصل على أحدث الأخبار المحلية والدولية مباشرة على هاتفك المحمول مجانًا:
ترك "Facebook "ملايين كلمات المرور القابلة للقراءة من قبل الموظفين
ترك "Facebook "ملايين كلمات المرور القابلة للقراءة من قبل الموظفين
0 comments:
إرسال تعليق