Сотрудники Facebook имели доступ к паролям пользователей Facebook и Instagram

Новый скандал на тему приватности и сохранности персональных данных разгорается вокруг Facebook и Instagram.

Вчера в официальном блоге Facebook ^[1] была сделана публикация о том, что во время очередного исследования безопасности соцсети, специалисты обнаружили внутреннюю уязвимость, из-за которой пароли пользователей Facebook и Instagram хранились в незащищенном виде и были доступны для просмотра сотрудниками социальной сети.

Со слов Pedro Canahuati, ответственного за безопасность и приватность высокопоставленного сотрудника Facebook, данная внутренняя уязвимость уже «была устранена», а пользователи, чьи пароли могли быть скомпрометированы, «получат об этом оповещение».

Так же Pedro Canahuati упоминает, что «системы логина устроены таким образом, что маскируют пароли с использованием технологий, которые делают их нечитаемыми». Хорошее объяснение от высококвалифицированного специалиста, являющегося лицом крупнейшей в мире корпорации?

В публикации Pedro Canahuati подчеркнул, что данные пароли «никогда не были видны никому за пределами Facebook» и не было обнаружено никаких доказательств того, что кто-либо «злоупотребил доступом к этим данным».

Впрочем, не-обнаружение релевантности факта не отменяет вероятность его релевантности. И было бы странно, если корпорация Facebook признала эти факты публично, подтвердись они во внутреннем расследовании. Попытка сохранить лицо в таком случае выглядела бы еще более натянутой.

Тот самый Pedro Canahuati, который мог видеть в том числе ваш пароль.

Официальные представители Facebook и Pedro Canahuati явно лукавят. Несколько дней назад информация о внутренней уязвимости была опубликована ^[2] в посвященном информационной безопасности блоге KrebsOnSecurity.

Общественность узнала печальные факты пренебрежения крупной корпорацией сохранностью паролей пользователей благодаря инсайдеру внутри Facebook, по данным которого упомянутые пароли хранились в незащищенном виде с 2012 года. Со слов инсайдера, в Facebook было известно об этой уязвимости. В публикации KrebsOnSecurity так же говорится о том, что «скомпрометированными оказались 200-600 миллионов пользователей Facebook, так как их пароли хранились в открытом виде и доступ к ним имели более чем 20000 сотрудников Facebook».

Дальнейших комментариев со стороны представителей Facebook не последовало. Другой сотрудник Facebook по имени Scott Renfro, взять интервью у которого удалось журналистам блога KrebsOnSecurity, отказался говорить о масштабах скомпрометированных учетных записей и количестве сотрудников, которые могли получить доступ к паролям пользователей.

Важным во всей этой истории остается факт, что информация о внутренней уязвимости была опубликована в блоге Facebook через несколько дней после того, как «неудобный» инсайд появился в блоге KrebsOnSecurity.

Из всей этой истории назревает несколько вопросов:

1. Действительно ли в Facebook приняли меры по исправлению уязвимости?
2. Действительно ли к паролям не имел доступ никто, кроме сотрудников социальной сети?
3. Действительно ли получат оповещения все пользователи, чьи пароли были скомпрометированы?
4. Стоит ли вновь ждать подобных новостей о корпорации, не раз пренебрегавшей приватностью пользователей?
5. Будут ли в Facebook искать сотрудника-инсайдера, причинившего значительный ущерб деловой репутации компании и раскрывшего информацию о существовании уязвимости?
6. Имеют ли сотрудники российских социальных сетей неофициальный (не баг, а фича) доступ к паролям пользователей?

Автор: Drebin893

Источник ^[3]