مثير للإعجاب

قام Facebook بتخزين مئات الملايين من كلمات المرور كنص غير مقنع

قام Facebook بتخزين مئات الملايين من كلمات المرور كنص غير مقنع

في كشف مذهل اليوم ، اعترف Facebook بأنه قد قام عن طريق الخطأ بتخزين مئات الملايين من كلمات مرور المستخدمين على خوادم الشركة الداخلية كنص عادي غير مقنع يعود إلى عام 2012.

يتم ترك كلمات مرور المستخدم مكشوفة كنص عادي على خوادم الشركة الداخلية

في بيان صدر اليوم ، أكد بيدرو كاناهواتي ، نائب رئيس الهندسة والأمن والخصوصية في Facebook ، أنه خلال مراجعة أمنية روتينية في يناير الماضي ، اكتشف Facebook أن "بعض كلمات مرور المستخدم" مخزنة داخليًا بواسطة Facebook بنص عادي غير مقنع.

راجع أيضًا: ELON MUSK يحذف جميع حساباته وحسابات شركته على Facebook

قال كاناهواتي: "لفت ذلك انتباهنا لأن أنظمة تسجيل الدخول لدينا مصممة لإخفاء كلمات المرور باستخدام تقنيات تجعلها غير قابلة للقراءة". "لقد أصلحنا هذه المشكلات وكإجراء احترازي ، سنُعلم كل شخص تم تخزين كلمات المرور الخاصة به بهذه الطريقة".

"هذا شيء كان يجب القبض عليه منذ سنوات. لماذا لم يكن؟"

كان سبب فشل التقنيع - عادةً ما يتم تشفير كلمات المرور باستخدام عملية تسمى التجزئة التي تحوّل النص المقروء إلى رطانة - نتيجة قيام مهندسي البرمجيات على ما يبدو ببناء تطبيقات على نظامهم الأساسي والتي ، من خلال سلسلة واضحة من الأخطاء ، انتهى بها الأمر إلى تسجيل غير المقنعة ، وكلمات المرور القابلة للقراءة وتسجيلها داخليًا دون تجزئتها بشكل صحيح.

تم الإبلاغ عنها في الأصل بواسطةكريبس على الأمن، اعتراف كاناهواتي بأن "بعض" المستخدمين قد تأثروا يمكن اعتباره بخسًا طفيفًا. بالنسبة الى كريبس، في أي مكان من 200 مليون إلى 600 مليون مستخدم Facebook تعرضوا لكلمات مرور حساباتهم على Facebook ، بعضها يعود إلى عام 2012.

يقر Facebook أن عدد كلمات المرور المتأثرة في مئات الملايين من مستخدمي Facebook Lite - وهو إصدار من Facebook مصمم ليكون في متناول الأشخاص الذين يعانون من ضعف الاتصال أو الأجهزة المنخفضة - وعشرات الملايين من مستخدمي Facebook المنتظمين وعشرات الآلاف من Instagram المستخدمين.

كلمات المرور يمكن عرضها - والبحث عنها - من قبل أكثر من 20000 من موظفي Facebook

يقول كاناهواتي إن "كلمات المرور هذه لم تكن مرئية أبدًا لأي شخص خارج Facebook ولم نعثر على أي دليل حتى الآن على أن أي شخص أساء إليها داخليًا أو قام بالوصول إليها بشكل غير صحيح".

ومع ذلك ، لا يزال التحقيق مستمرًا ، ولا توجد طريقة لمعرفة صحة هذه التأكيدات نظرًا للضربات المتكررة لمصداقية الشركة على مدار العام ونصف العام الماضيين عندما يتعلق الأمر بمخاوف الخصوصية وأمن البيانات. ما نعرفه هو أنه ربما كان من الممكن الوصول إلى كلمات المرور هذه واستردادها عبر البحث من قبل أكثر من 20000 موظف على Facebook مع إمكانية الوصول إلى خادم Facebook الداخلي حيث تم تخزين كلمات المرور.

هذه سلطة كبيرة جدًا على خصوصية المستخدمين وأمن البيانات التي يتمتع بها موظف Facebook ، بغض النظر عن مدى حسن نيتهم.

قال موظف مجهول على Facebook كريبس أن "سجلات الوصول أظهرت أن حوالي 2000 مهندس أو مطور قدموا ما يقرب من تسعة ملايين استعلام داخلي لعناصر البيانات التي تحتوي على كلمات مرور مستخدم نص عادي".

في مقابلة مع كريبس، موظف آخر في Facebook ، مهندس برمجيات سكوت رينفرو ، يقول إنه حتى الآن لا يوجد أي دليل على أن أي شخص حاول عمدًا جمع بيانات كلمة المرور هذه.

قال رينفرو: "لم نعثر على أي حالات حتى الآن في تحقيقاتنا حيث كان هناك شخص ما يبحث عن عمد عن كلمات المرور ، ولم نعثر على دلائل على إساءة استخدام هذه البيانات". "في هذه الحالة ، وجدنا أنه تم تسجيل كلمات المرور هذه عن غير قصد ولكن لم يكن هناك خطر حقيقي ناتج عن ذلك. نريد أن نتأكد من أننا نحتفظ بهذه الخطوات ونفرض فقط تغيير كلمة المرور في الحالات التي تكون فيها بالتأكيد علامات إساءة استخدام ".

في حين أن هذه الاستعلامات قد تكون غير ذات صلة والتي خدمت غرضًا مشروعًا آخر ولم ينتج عنها أي ضرر ، فإن Facebook يطلب منا بشكل أساسي أن نأخذ كلمتهم من أجل ذلك.

من غير المعقول حرفياً أن هذا ببساطة انزلق عبر الشقوق لسنوات

إذا كان بإمكاني كتابة الافتتاحية قليلاً هنا ، فإن القول بأن هذا ما كان يجب أن يحدث هو التقليل من شأن الحالة ببضعة أوامر من الحجم.

تحدث أعطال البرامج طوال الوقت ، وهذا أمر متوقع ، وفي بعض الأحيان قد يستغرق الأمر وقتًا طويلاً للكشف عن سبب عطل دقيق في البرنامج ؛ زوج في غير محله من{ } يمكن للأقواس الموجودة في جزء من التعليمات البرمجية تغيير سلوك البرنامج بشكل جذري على الرغم من أن البرنامج يعمل بشكل جيد.

يمكن للروبوت إجراء 9 ملايين استعلام عن قاعدة بيانات بسرعة كبيرة إذا كان يستخدم معالجًا قويًا بدرجة كافية ، وهو ما يمتلكه موظفو Facebook بلا شك. يقوم Facebook أيضًا بتخزين كمية لا يمكن فهمها من البيانات الأولية على خوادمه. في هذه الحالة ، من المحتمل أن تمثل عمليات البحث التي يبلغ عددها 9 ملايين جزءًا صغيرًا جدًا من الاستفسارات التي أجراها موظفو Facebook على مدار عدة سنوات. من المفهوم للغاية أن مثل هذا الحجم الصغير للعينة يجعل اكتشاف كشف كلمة المرور ليس مضمونًا.

"لم نعثر على أي حالات حتى الآن في تحقيقاتنا حيث كان هناك شخص ما يبحث عن عمد عن كلمات المرور ، ولم نعثر على دلائل على إساءة استخدام هذه البيانات." - مقابلة مع مهندس برمجيات فيسبوك سكوت رينفرو KerbsOnSecurity

من المحتمل أيضًا أن المهندسين والمطورين الذين أجروا هذه الاستعلامات استردوا عقدة بيانات تحتوي على معلومات المستخدم ، بما في ذلك كلمات المرور غير المقنعة ، ولم ينظروا أبدًا إلى البيانات التي كانوا يبحثون عنها. يمكن للمبرمجين ببساطة استخدام برنامج نصي أو وظيفة لأخذ البيانات من حقل بيانات محدد غير مرتبط لعقدة بيانات المستخدم المكشوف وتغذية تلك البيانات مباشرة في أي برنامج كانوا يعملون عليه.

في هذه الحالة ، يمكنهم إجراء ملايين الاستعلامات في الساعة ولن يضطروا مطلقًا إلى إلقاء نظرة على سطر واحد من بيانات المستخدم ، ناهيك عن كلمات المرور المكشوفة.

يمكن أن تجعل طبيعة هذا النوع من البرمجة من الصعب تعقب خطأ مثل هذا من خلال النظر في الكود وتتبع منطق برنامجك. الأنظمة ببساطة معقدة للغاية بحيث لا يمكن أن يكون هذا احتمالًا ، كما أن المشكلات المتعلقة بالمدخلات - خاصة المدخلات التي يدخلها المستخدم مثل كلمات المرور - هي من بين أكثر التحديات التي لا يمكن التنبؤ بها والتي يتعين على المبرمجين توقعها عند تصميم البرامج.

هذه الأنواع من المشاكل غير المتوقعة هي بالتحديد سبب إنشاء مكتبات كاملة من واجهات برمجة تطبيقات اختبار متطورة. باستخدام الأتمتة ، يمكنك اختبار وحدة برمجية من خلال ملايين التكرار باستخدام مدخلات مختلفة لاختبار إجهاد الوحدة الخاصة بك ومحاولة كسرها ، وبالتالي الكشف عن نقاط الضعف المخفية قبل نشر البرنامج.

وبالمثل ، يمكنك تغذية الملايين من المدخلات المختلفة في دالة والتحقق من أن المخرجات هي ما ينبغي أن تكون عليه ؛ مثل ، لا أعرف ، ربما ما إذا كانت كلمة المرور التي تم تمريرها إلى وظيفة التجزئة تقوم بالفعل بإرجاع كلمة مرور مشفرة. بالتأكيد ، لا يوجد اختبار مثالي ، ولا يمكن جعل أي شيء آمنًا بنسبة 100٪ ، لكن هذا ليس حدثًا نادرًا بشكل استثنائي كشف بضع مئات من كلمات المرور على أنها اختبار غير مقنع وواضح كعرض لإله الرقم العشوائي.

لدى Facebook حوالي 2.5 مليار مستخدم شهريًا نشطًا ، لذا فإن 200 مليون إلى 600 مليون مستخدم تم الكشف عن كلمات المرور الخاصة بهم يمثلون ، في تقدير تقريبي للنسبة المئوية الإجمالية لمستخدمي Facebook ، حوالي 8-24 ٪ من قاعدة مستخدمي Facebook الشهرية النشطة.

هذه نسبة هائلة تسللت عبر الشقوق لسنوات. ببساطة ، من غير الممكن ألا تظهر كلمات المرور ذات النص العادي غير المقنعة أثناء أنواع الاختبارات الصارمة التي تحتاجها عند التعامل مع شيء حساس مثل بيانات كلمة المرور المخزنة. حقيقة أن كلمات المرور هذه غير المقنعة والنصوص العادية قد "فاتتها" بعض فرق ضمان الجودة ومحللي الأمان والمطورين "النخبة" الذين يصلون إلى عناصر البيانات هذه لأغراض غير مرتبطة ظاهريًا هو أمر مذهل.

حتى لو كانت كل كلمة مرور مكشوفة تمثل مستخدمًا ترك حساباته على وسائل التواصل الاجتماعي قبل سنوات ، فلن يكون ذلك مهمًا. كانت البيانات لا تزال موجودة هناك ، ويمكن الوصول إليها بالكامل من قبل الموظفين الداخليين ، وتلوح بعلامة حمراء لأي شخص ليرى من يهتم بالنظر. هذا شيء كان يجب القبض عليه منذ سنوات. لماذا لم يكن؟

الجحيم ، الروبوت الذي يقوم بتشغيل خوارزمية regex على حقول كلمات مرور المستخدم الموجودة في ملف بيانات المستخدم لمدة تقل عن يوم واحد كان من الممكن أن يلتقط الكلمات التي يمكن التعرف عليها كانت تظهر في كلمات مرور المستخدم ويطلق تنبيهات حول هذا الانقطاع الأمني ​​؛ لا تحتوي كلمات المرور المقنعة على الكلمات bronco أو patriot أو ILoveBetoORourkeABunch.

إن فحص المليارات من حسابات المستخدمين بحثًا عن أنماط يمكن التعرف عليها في كلمات المرور المخزنة والتي من شأنها أن تكشف عن هذه الثغرة الأمنية تبدو وكأنها تتطلب الكثير من العمل ، ولكن هذا ما تفعله خوارزميات Facebook في كل لحظة من كل يوم. هذا النوع من تحليل البيانات هو بالضبط ما يفعله Facebook على هذه الأرض ، ولكن يبدو أنهم يفضلون كثيرًا وضع خوارزمياتهم على بياناتنا لمحاولة معرفة نوع الملابس التي نحبها حتى يتمكنوا من بيع تفضيلاتنا المعلنين.

سيكشف Facebook بلا شك المزيد من المعلومات حول هذا الانقطاع الأمني ​​وما سيفعلونه لإصلاح المشكلة ، ولكن نظرًا لفضيحة Facebook الأخيرة حول قضايا الخصوصية وأمن البيانات ، فإن هذا ليس تطورًا مشجعًا على أقل تقدير. حقيقة أنه تم اكتشافه فقط في يناير بعد أن قام المهندسون باختبار أمان "روتيني" ورأى أن كلمات المرور لم يتم إخفاءها يطرح السؤال لماذا لم تكشف اختبارات الأمان "الروتينية" السابقة هذه المشكلة في وقت أقرب؟

وغني عن القول ، أن الفشل في تأمين البيانات الموجودة في مئات الملايين من حسابات المستخدمين عن طريق ترك مفاتيح هذه الحسابات - كلمات المرور غير المقنعة والنصوص العادية - مكشوفة على خوادم الشركة الداخلية هو الفشل الأكثر إثارة حتى الآن فيما سبق كان عامًا ونصف فظيعًا بالنسبة إلى Facebook.


شاهد الفيديو: ازالة كلمات المرور من المتصفح (شهر اكتوبر 2021).