흥미 롭다

Facebook은 수억 개의 암호를 마스크되지 않은 텍스트로 저장했습니다.

Facebook은 수억 개의 암호를 마스크되지 않은 텍스트로 저장했습니다.


We are searching data for your request:

Forums and discussions:
Manuals and reference books:
Data from registers:
Wait the end of the search in all databases.
Upon completion, a link will appear to access the found materials.

오늘 놀라운 폭로를 통해 Facebook은 2012 년까지 거슬러 올라가는 마스킹되지 않은 일반 텍스트로 실수로 수억 명의 사용자 암호를 내부 회사 서버에 저장했음을 인정했습니다.

내부 회사 서버에 일반 텍스트로 노출 된 사용자 암호

오늘 발표 된 성명에서 Facebook의 엔지니어링, 보안 및 개인 정보 보호 담당 부사장 인 Pedro Canahuati는 지난 1 월 정기 보안 검토에서 Facebook이 "일부 사용자 암호"가 마스크되지 않은 일반 텍스트로 Facebook에 내부적으로 저장되었음을 발견했습니다.

다음 사항도 참조 : ELON MUSK는 자신과 회사의 모든 페이스 북 계정을 삭제합니다.

Canahuati는“우리의 로그인 시스템은 암호를 읽을 수 없게 만드는 기술을 사용하여 암호를 마스킹하도록 설계 되었기 때문에 우리의 관심을 끌었습니다. "우리는 이러한 문제를 해결했으며 예방책으로 우리가 찾은 암호가 이런 방식으로 저장된 모든 사람에게 알릴 것입니다."

"이것은 몇 년 전에 잡았어야했던 것입니다. 왜 그렇지 않습니까?"

마스킹 실패의 원인 (암호는 일반적으로 읽을 수있는 텍스트를 횡설수설로 스크램블하는 해싱이라는 프로세스를 사용하여 암호화 됨)은 소프트웨어 엔지니어가 명백한 일련의 오류를 통해 마스킹되지 않은 내용을 기록한 플랫폼에서 애플리케이션을 구축 한 결과였습니다. , 읽을 수있는 암호를 사용하고 적절하게 해싱하지 않고 내부적으로 기록했습니다.

원래 신고자보안에 대한 크렙스, "일부"사용자가 영향을 받았다는 Canahuati의 인정은 약간의 과소 평가로 보일 수 있습니다. 에 따르면 크렙스, 2 억 ~ 6 억 명의 Facebook 사용자가 Facebook 계정에 대한 비밀번호를 공개했으며 일부는 2012 년까지 거슬러 올라갑니다.

Facebook은 수억 명의 Facebook Lite 사용자 (연결 상태가 좋지 않거나 저가형 장치를 사용하는 사람들이 액세스 할 수 있도록 설계된 Facebook 버전), 수천만 명의 일반 Facebook 사용자 및 수만 명의 Instagram에서 영향을받은 암호가 있음을 인정합니다. 사용자.

20,000 명 이상의 Facebook 직원이 볼 수 있고 검색 할 수있는 암호

Canahuati는 "이러한 암호는 Facebook 외부의 누구에게도 볼 수 없었으며 내부적으로 남용했거나 부적절하게 액세스했다는 증거를 지금까지 발견하지 못했습니다."라고 말합니다.

그러나 조사는 여전히 진행 중이며 개인 정보 보호 및 데이터 보안 문제와 관련하여 지난 1 년 반 동안 회사의 신뢰성에 반복적 인 타격을 가한 점을 감안할 때 이러한 보증의 진실성을 알 방법이 없습니다. 우리가 알고있는 사실은 비밀번호가 저장된 Facebook의 내부 서버에 액세스 할 수있는 20,000 명 이상의 Facebook 직원이 검색을 통해 이러한 비밀번호에 액세스하고 검색 할 수 있다는 것입니다.

이는 페이스 북 직원이 아무리 좋은 의도를 가지고 있더라도 사용자의 프라이버시 및 데이터 보안에 대한 너무 큰 힘입니다.

익명의 페이스 북 직원은 크렙스 "액세스 로그에 따르면 약 2,000 명의 엔지니어 또는 개발자가 일반 텍스트 사용자 암호가 포함 된 데이터 요소에 대해 약 9 백만 건의 내부 쿼리를 수행 한 것으로 나타났습니다."

인터뷰에서 크렙스Facebook의 두 번째 직원 인 소프트웨어 엔지니어 Scott Renfro는 지금까지 누군가가 의도적으로이 비밀번호 데이터를 수집하려했다는 증거가 없다고 말합니다.

Renfro는 "누군가가 의도적으로 암호를 찾고 있던 사건을 지금까지 조사에서 발견하지 못했고이 데이터의 오용 징후도 발견하지 못했습니다"라고 말했습니다. "이 상황에서 우리가 발견 한 것은 이러한 암호가 실수로 기록되었지만 이로 인해 발생하는 실제 위험이 없다는 것입니다. 우리는 이러한 단계를 유지하고 악용 징후가 분명한 경우에만 비밀번호를 강제로 변경하고자합니다. "

이것들은 다른 합법적 인 목적에 도움이되는 관련없는 쿼리 일 수 있고 그들로부터 아무런 해를 끼치 지 않았을 수도 있지만, 페이스 북은 본질적으로 우리에게 그들의 말을 받아 들일 것을 요청하고 있습니다.

이것이 몇 년 동안 단순히 균열을 뚫었다는 것은 말 그대로 믿기지 않습니다.

내가 여기서 약간 편집 할 수 있다면, 이런 일이 발생해서는 안된다고 말하는 것은 몇 자릿수로 사건을 과소 평가하는 것입니다.

소프트웨어 오작동은 항상 발생하며 이는 예상되는 일이며 때로는 특히 미묘한 소프트웨어 오작동의 원인을 밝히는 데 오랜 시간이 걸릴 수 있습니다. 잘못 배치 된 쌍{ } 코드 조각의 대괄호는 프로그램이 잘 실행되는 것처럼 보이지만 프로그램의 동작을 근본적으로 변경할 수 있습니다.

봇은 Facebook 직원이 의심 할 여지없이 충분히 강력한 프로세서를 사용하면 데이터베이스에 대해 9 백만 개의 쿼리를 매우 빠르게 만들 수 있습니다. Facebook은 또한 서버에 헤아릴 수없는 양의 원시 데이터를 저장합니다. 그렇기 때문에 이러한 9 백만 건의 검색은 몇 년 동안 Facebook 직원이 만든 쿼리의 매우 적은 부분을 차지할 가능성이 높습니다. 이러한 작은 샘플 크기로 인해 암호 노출을 감지하는 것이 보증 대상이 아니라는 것은 매우 이해하기 쉽습니다.

"지금까지 누군가가 의도적으로 비밀번호를 찾고 있던 사건을 조사에서 발견하지 못했고이 데이터의 오용 징후도 발견하지 못했습니다." — Facebook 소프트웨어 엔지니어 Scott Renfro, 인터뷰 KerbsOnSecurity

또한 이러한 쿼리를 수행 한 엔지니어와 개발자는 마스킹되지 않은 암호를 포함한 사용자 정보가 포함 된 데이터 노드를 검색했으며 쿼리하려는 데이터를 보지 않았을 가능성이 있습니다. 프로그래머는 스크립트 나 함수를 사용하여 노출 된 사용자 데이터 노드의 관련없는 특정 데이터 필드에서 데이터를 가져 와서 작업중인 프로그램에 직접 데이터를 공급할 수 있습니다.

이 경우 한 시간에 수백만 건의 쿼리를 만들 수 있으며 노출 된 암호보다 훨씬 적은 사용자 데이터 한 줄을 볼 필요가 없습니다.

이러한 종류의 프로그래밍의 특성으로 인해 코드를보고 프로그램의 논리를 추적하여 이와 같은 버그를 추적하기가 어려울 수 있습니다. 시스템은 이것이 가능성이 되기에는 너무 복잡하고 입력 문제, 특히 암호와 같은 사용자 입력 입력 문제는 프로그래머가 소프트웨어를 설계 할 때 예상해야하는 가장 예측할 수없는 문제 중 하나입니다.

이러한 종류의 예측할 수없는 문제는 정교한 테스트 API의 전체 라이브러리가 만들어진 이유입니다. 자동화를 사용하면 다양한 입력을 사용하여 수백만 번의 반복을 통해 소프트웨어 모듈을 테스트하여 모듈에 대한 스트레스 테스트를 수행하고 파손을 시도하여 소프트웨어를 배포하기 전에 숨겨진 취약점을 노출 할 수 있습니다.

마찬가지로 함수에 수백만 개의 서로 다른 입력을 제공하고 출력이 올바른지 검증 할 수 있습니다. 예를 들어, 해싱 함수에 전달 된 암호가 실제로 암호화 된 암호를 반환하는지 여부를 모르겠습니다. 물론 완벽한 테스트는 없으며 100 % 보안을 유지할 수있는 것은 없습니다.하지만 이것은 난수 신에게 제공하는 것으로 수백 개의 암호를 마스크되지 않은 일반 테스트로 노출 한 예외적으로 드문 경우는 아닙니다.

페이스 북은 월간 약 25 억 명의 활성 사용자를 보유하고 있으므로 비밀번호가 노출 된 2 억에서 6 억 명의 사용자는 전체 페이스 북 사용자의 대략적인 비율로 페이스 북의 월 활성 사용자 기반의 약 8-24 %를 나타냅니다.

그것은 수년 동안 균열을 빠져 나간 엄청난 비율입니다. 이렇게 마스킹되지 않은 일반 텍스트 암호가 저장된 암호 데이터만큼 민감한 것을 다룰 때 필요한 엄격한 테스트 중에 표시되지 않는 것은 불가능합니다. 가장 "엘리트"품질 보증 팀, 보안 분석가 및 표면적으로 관련이없는 목적으로 이러한 데이터 요소에 액세스하는 개발자가 이러한 마스크되지 않은 일반 텍스트 암호를 "누락"했다는 사실은 엄청납니다.

노출 된 모든 암호가 몇 년 전에 소셜 미디어 계정을 종료 한 사용자를 대표한다고해도 상관 없습니다. 데이터는 내부 직원이 완전히 액세스 할 수있는 여전히 거기에 있었고, 누가보고 싶어하는지 알 수있는 위험 신호를 흔들 었습니다. 이것은 몇 년 전에 잡혔어야 할 것입니다. 왜 그렇지 않습니까?

지옥, 사용자의 데이터 파일에 포함 된 사용자 암호 필드에 대해 정규식 알고리즘을 실행하는 봇은 하루도 채 안되는 시간 동안 인식 할 수있는 단어가 사용자 암호에 나타나고이 보안 문제에 대한 경보를 발령했을 것입니다. 마스킹 된 암호에는 bronco, patriot 또는 ILoveBetoORourkeABunch라는 단어가 포함되지 않습니다.

수십억 개의 사용자 계정에서이 취약점을 노출했을 수있는 저장된 암호에서 인식 가능한 패턴을 확인하는 것은 많은 작업처럼 들리지만 말 그대로 페이스 북의 알고리즘이 매일하는 일입니다. 이러한 유형의 데이터 분석은 페이스 북이 지구상에 존재하는 것과 정확히 일치하지만, 우리가 선호하는 옷을 판매 할 수 있도록 우리가 어떤 종류의 옷을 좋아하는지 알아 내기 위해 알고리즘을 데이터에 느슨하게 설정하는 것 같습니다. 광고주.

페이스 북은 의심 할 여지없이이 보안 결함과 문제 해결을 위해 무엇을 할 것인지에 대한 더 많은 정보를 공개 할 것이지만, 최근 페이스 북의 개인 정보 보호 및 데이터 보안 문제에 대한 스캔들을 감안할 때, 이것은 아무리 고무적인 발전이 아닙니다. "일상적인"보안 테스트를 수행 한 엔지니어가 암호가 마스킹되지 않는다는 것을 확인한 후 1 월에만 발견되었다는 사실은 왜 이전의 "일상적인"보안 테스트에서이 문제를 더 빨리 드러내지 않았는지 의문을 제기합니다.

말할 필요도없이 이러한 계정의 키 (마스킹되지 않은 일반 텍스트 암호)를 내부 회사 서버에 노출하여 수억 명의 사용자 계정에 포함 된 데이터를 보호하지 못하는 것은 이미 존재했던 가장 큰 실패입니다. 페이스 북에게는 정말 끔찍한 1 년 반이었습니다.


비디오보기: jsp 13 MySns 1 (할 수있다 2022).