פייסבוק הודתה כי שמרה מאות מיליוני ססמאות מבלי להצפין אותן

עיתונאי האבטחה בריאן קרבס דיווח כי בין 200 מיליון ל-600 מיליון ססמאות נשמרו בשרתי החברה כפי שהוקלדו, ומבלי שעברו פונקציית גיבוב כדי להגן עליהן; פייסבוק: הן לא נחשפו מחוץ לחברה

עודד ירון
שתפו כתבה במיילשתפו כתבה במייל
שתפו כתבה במיילשתפו כתבה במייל
מעבר לטוקבקים
פייסבוק
פייסבוק לא דרשה את המידע, אך לא סירבה לקבלוצילום: AFP

פייסבוק שמרה מאות מיליוני ססמאות של משתמשים על שרתיה מבלי להצפין אותן, כך דיווח עיתונאי האבטחה בראיין קרבס. החברה אישרה את הדברים בפוסט שפרסמה בבלוג שלה. לדבריה, אף גורם מחוץ לחברה לא יכול היה לגשת לססמאות החשופות, אך לדברי קרבס מפתחים בחברה קיבלו אליהן גישה במיליוני מקרים שונים.

גורם בתוך פייסבוק מסר לקרבס כי ייתכן שבין 200 מיליון ל-600 מיליון משתמשים הושפעו מהבעיה. זאת מפני שהססמאות נשמרו כשם שהוקלדו, כלומר לא הוצפנו באמצעות פונקציית גיבוב (Hash) כפי שנדרש. 

זה עשוי להישמע מוזר, כי כאשר אנחנו מתחברים לפייסבוק או לכל שירות רשת אחר, אנחנו מזינים את הססמה לאתר. רוב המשתמשים מניחים שפייסבוק "יודעת" מה הססמה. למעשה, היא לא אמורה "לדעת", אלא רק לשמור גרסה שמורכבת מאוסף רנדומלי למראה של אותיות ומספרים - שקשה עד בלתי אפשרי לשחזר ממנו את הססמה המקורית, אבל הוא מאפשר לזהות אם זו אכן הססמה של המשתמש:

כשאני מתחבר לאתר ונדרש להזין סיסמה ראשונית, המתכנת שבנה את האתר לוקח את הסיסמה שהקלדנו לאתר ומעביר אותה דרך פונקציית גיבוב. הטקסט המגובב נכנס למסד הנתונים של האתר.

כאשר אנו נכנסים שוב לאתר ומכניסים את הסיסמה שלנו, היא עוברת גם דרך פונקציית הגיבוב ומושווית אל הטקסט המגובב ששמור במסד הנתונים. כך לאתר אין שום מושג מה הסיסמה שלנו. אם אנחנו שוכחים אותה, האתר שולח קישור מיוחד אל הדואר האלקטרוני שלכם, כניסה אליו מאפסת את הסיסמה ומאפשרת לכם להכניס חדשה, שגם היא בתורה, תעבור דרך פונקצית הגיבוב. (מכתבתו של רן בר-זיק על פונקציות גיבוב)

אין שום סיבה שבעולם שמישהו בחברה, או מחוץ לה, יוכל לגשת לססמאות חשופות. ואולם, קרבס כתב כי מאגר המידע של הססמאות היה חשוף לגישה של כ-20,000 אלף עובדי פייסבוק. המקור מסר לו גם כי רשומות השרתים גילו שכ-2,000 מהנדסים ומפתחים ביצעו כ-9 מיליון חיפושים פנימיים, שהניבו תוצאות שכללו ססמאות חשופות. 

קרבס הוסיף כי סקוט רנפרו, מהנדס תוכנה בחברה, אמר לו בראיון כי פייסבוק אינה מוכנה לחשוף מספרים מדויקים בפרשה. לדברי רנפרו, החברה מתכננת לדווח למשתמשים שהושפעו, אך אין צורך בעדכון ססמאות.

בפוסט שכתב פדרו קנהוטי, סגן נשיא להנדסה, אבטחה ופרטיות בפייסבוק, הוא ציין כי הרוב המכריע של הססמאות (מאות מיליונים) היו שייכות למשתמשי אפליקציות פייסבוק לייט. בנוסף נשמרו באופן חשוף עשרות מיליוני ססמאות של משתמשים נוספים בפייסבוק ועשרות אלפי ססמאות של משתמשי אינסטגרם.

גם קנהוטי נמנע מהמלצה ישירה, אך ציין כי משתמשים "יכולים" לנקוט בכמה צעדים כדי לשמור על החשבונות שלהם:

1. לשנות את הססמאות 

2. לבחור בססמאות מורכבות

2. להפעיל אימות דו שלבי - בין אם באמצעות אפליקציה חיצונית, או בין אם באמצעות הודעות SMS - פייסבוק נאלצה לפני כמה חודשים להודות כי היא משתמשת במספרים שסופקו לה למטרות אבטחה כדי לסייע לפרסום ממוקד. בתחילה טענה כי מעולם לא טענה שלא תעשה כך, אבל למעשה היא שיקרה.

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר הארץ