Menarik

Facebook Menyimpan Ratusan Juta Kata Sandi sebagai Teks Tanpa Kedok

Facebook Menyimpan Ratusan Juta Kata Sandi sebagai Teks Tanpa Kedok

Dalam pengungkapan yang menakjubkan hari ini, Facebook telah mengakui bahwa secara tidak sengaja telah menyimpan ratusan juta kata sandi pengguna ke server internal perusahaan sebagai teks biasa yang telah dibuka kedoknya sejak tahun 2012.

Kata Sandi Pengguna Dibiarkan Terekspos Sebagai Teks Biasa di Server Perusahaan Internal

Dalam pernyataan yang dikeluarkan hari ini, Pedro Canahuati, wakil presiden Rekayasa, Keamanan, dan Privasi Facebook, mengonfirmasi bahwa selama tinjauan keamanan rutin pada Januari lalu, Facebook menemukan bahwa "beberapa kata sandi pengguna" disimpan secara internal oleh Facebook dalam teks biasa yang tidak kedok.

LIHAT JUGA: ELON MUSK MENGHAPUS SEMUA AKUN FACEBOOK PERUSAHAANNYA DAN PERUSAHAANNYA

"Ini menarik perhatian kami karena sistem login kami dirancang untuk menutupi sandi menggunakan teknik yang membuatnya tidak dapat dibaca," kata Canahuati. "Kami telah memperbaiki masalah ini dan sebagai tindakan pencegahan kami akan memberi tahu semua orang yang sandinya kami temukan disimpan dengan cara ini."

"Ini adalah sesuatu yang seharusnya ditangkap bertahun-tahun yang lalu. Kenapa tidak?"

Penyebab kegagalan penyamaran — sandi biasanya dienkripsi menggunakan proses yang disebut hashing yang mengacak teks yang dapat dibaca menjadi omong kosong — adalah hasil dari insinyur perangkat lunak yang tampaknya membangun aplikasi pada platform mereka yang, melalui serangkaian kesalahan yang tampak, akhirnya merekam yang dibuka kedoknya , sandi yang dapat dibaca, dan mencatatnya secara internal tanpa melakukan hashing dengan benar.

Awalnya ditandai olehKrebs tentang Keamanan, Pengakuan Canahuati bahwa "beberapa" pengguna terpengaruh dapat dilihat sebagai pernyataan kecil. Berdasarkan Krebs, di mana saja dari 200 juta hingga 600 juta pengguna Facebook memiliki kata sandi ke akun Facebook mereka terekspos, beberapa di antaranya pada tahun 2012.

Facebook mengakui bahwa kata sandi yang terpengaruh berjumlah ratusan juta pengguna Facebook Lite — versi Facebook yang dirancang untuk dapat diakses oleh mereka yang memiliki konektivitas buruk atau perangkat kelas bawah—, puluhan juta pengguna Facebook biasa, dan puluhan ribu Instagram pengguna.

Kata Sandi Mungkin Dapat Dilihat — Dan Dapat Dicari — oleh Lebih dari 20.000 Karyawan Facebook

Canahuati mengatakan bahwa "sandi ini tidak pernah terlihat oleh siapa pun di luar Facebook dan kami tidak menemukan bukti hingga saat ini bahwa ada orang yang melakukan pelecehan internal atau mengaksesnya secara tidak benar."

Investigasi masih berlangsung, bagaimanapun, dan tidak ada cara untuk mengetahui kebenaran dari jaminan ini mengingat pukulan berulang terhadap kredibilitas perusahaan selama satu setengah tahun terakhir ketika menyangkut masalah privasi dan keamanan data. Apa yang kami ketahui adalah bahwa kata sandi ini mungkin dapat diakses dan diambil melalui pencarian oleh lebih dari 20.000 karyawan Facebook yang memiliki akses ke server internal Facebook tempat kata sandi disimpan.

Itu terlalu banyak kekuasaan atas privasi pengguna dan keamanan data untuk dimiliki karyawan Facebook, tidak peduli seberapa baik niat mereka.

Seorang karyawan Facebook anonim memberi tahu Krebs bahwa "log akses menunjukkan sekitar 2.000 insinyur atau pengembang membuat sekitar sembilan juta kueri internal untuk elemen data yang berisi sandi pengguna teks biasa."

Dalam wawancara dengan Krebs, seorang karyawan Facebook kedua, insinyur perangkat lunak Scott Renfro, mengatakan bahwa sejauh ini tidak ada bukti bahwa ada orang yang dengan sengaja mencoba mengumpulkan data sandi ini.

"Sejauh ini kami belum menemukan kasus apa pun dalam penyelidikan kami di mana seseorang sengaja mencari sandi, kami juga tidak menemukan tanda-tanda penyalahgunaan data ini," kata Renfro. “Dalam situasi ini, yang kami temukan adalah kata sandi ini dicatat secara tidak sengaja, tetapi sebenarnya tidak ada risiko yang muncul dari hal ini. Kami ingin memastikan bahwa kami melakukan langkah-langkah tersebut dan hanya memaksa perubahan sandi jika sudah pasti ada tanda-tanda penyalahgunaan. "

Meskipun ini mungkin pertanyaan tidak terkait yang melayani beberapa tujuan sah lainnya dan tidak ada bahaya yang mungkin datang dari mereka, Facebook pada dasarnya meminta kami untuk mengambil kata-kata mereka untuk itu.

Sungguh Tidak Dapat Dipercaya Bahwa Ini Cukup Tergelincir Melalui Celah selama Bertahun-tahun

Jika saya dapat membuat editorial sedikit di sini, untuk mengatakan bahwa ini seharusnya tidak terjadi adalah mengecilkan kasus ini dengan beberapa kali lipat.

Kerusakan perangkat lunak terjadi sepanjang waktu, ini memang wajar dan terkadang perlu waktu lama untuk mengungkap penyebab kerusakan perangkat lunak yang tidak kentara; sepasang salah tempat{ } tanda kurung dalam potongan kode dapat secara radikal mengubah perilaku program meskipun program tersebut tampaknya berjalan dengan baik.

Bot dapat membuat 9 juta kueri dari database dengan sangat cepat jika menggunakan prosesor yang cukup kuat, yang pasti dimiliki oleh karyawan Facebook. Facebook juga menyimpan data mentah dalam jumlah yang tak terduga di servernya. Karena itu, 9 juta pencarian ini kemungkinan besar mewakili sebagian kecil dari kueri yang dibuat oleh karyawan Facebook selama beberapa tahun. Sangat dapat dimengerti bahwa ukuran sampel yang begitu kecil membuat pendeteksian pemaparan kata sandi bukanlah jaminan.

"Sejauh ini kami belum menemukan kasus apa pun dalam penyelidikan kami di mana seseorang sengaja mencari sandi, kami juga tidak menemukan tanda-tanda penyalahgunaan data ini." - Insinyur Perangkat Lunak Facebook Scott Renfro, Wawancara dengan KerbsOnSecurity

Mungkin juga para insinyur dan pengembang yang membuat kueri ini mengambil simpul data yang berisi informasi pengguna, termasuk kata sandi yang tidak kedok, dan bahkan tidak pernah melihat data yang mereka cari untuk kueri. Pemrogram cukup menggunakan skrip atau fungsi untuk mengambil data dari bidang data tertentu yang tidak terkait dari simpul data pengguna yang terbuka dan memasukkan data itu langsung ke program apa pun yang sedang mereka kerjakan.

Dalam hal ini, mereka dapat membuat jutaan kueri dalam satu jam dan tidak perlu melihat satu baris pun data pengguna, apalagi kata sandi yang terbuka.

Sifat pemrograman semacam ini dapat menyulitkan pelacakan bug seperti ini dengan melihat kode dan menelusuri logika program Anda. Sistem terlalu rumit untuk menjadi kemungkinan dan masalah dengan input — terutama input yang dimasukkan pengguna seperti kata sandi — adalah salah satu tantangan paling tak terduga yang harus diantisipasi oleh pemrogram saat merancang perangkat lunak.

Jenis masalah yang tidak dapat diprediksi inilah yang menjadi alasan mengapa seluruh pustaka API pengujian yang canggih dibuat. Dengan menggunakan otomatisasi, Anda dapat menguji modul perangkat lunak melalui jutaan pengulangan menggunakan input yang berbeda untuk menguji modul Anda dan mencoba memecahkannya, dengan demikian mengekspos kerentanan tersembunyi sebelum menerapkan perangkat lunak.

Demikian pula, Anda dapat memasukkan jutaan masukan yang berbeda ke dalam suatu fungsi dan memvalidasi bahwa keluarannya adalah sebagaimana mestinya; seperti, saya tidak tahu, mungkin apakah kata sandi yang diteruskan ke fungsi hashing benar-benar mengembalikan kata sandi terenkripsi. Tentu, tidak ada tes yang sempurna, dan tidak ada yang bisa dibuat 100% aman, tapi ini bukan kejadian yang sangat langka yang mengekspos beberapa ratus kata sandi sebagai tes yang tidak kedok, tes biasa sebagai persembahan kepada Dewa Angka Acak.

Facebook memiliki sekitar 2,5 miliar pengguna aktif bulanan, sehingga 200 juta hingga 600 juta pengguna yang kata sandinya terungkap mewakili, dalam perkiraan kasar dari persentase total pengguna Facebook, sekitar 8-24% basis pengguna aktif bulanan Facebook.

Itu adalah persentase yang sangat besar untuk lolos dari celah selama bertahun-tahun. Tidak mungkin kata sandi teks biasa yang tidak kedok ini tidak muncul selama jenis pengujian ketat yang Anda perlukan saat menangani sesuatu yang sensitif seperti data kata sandi yang disimpan. Fakta bahwa sandi teks biasa yang tidak kedok ini "terlewat" oleh beberapa tim jaminan kualitas yang paling "elit", analis keamanan, dan pengembang yang mengakses elemen data ini untuk tujuan yang tampaknya tidak terkait adalah hal yang membingungkan.

Bahkan jika setiap kata sandi yang terbuka mewakili pengguna yang keluar dari akun media sosial mereka bertahun-tahun sebelumnya, itu tidak masalah. Datanya masih ada di sana, sepenuhnya dapat diakses oleh karyawan internal, melambai-lambaikan bendera merah bagi siapa saja yang mau repot melihat. Ini adalah sesuatu yang seharusnya ditangkap bertahun-tahun lalu. Kenapa tidak?

Sial, bot yang menjalankan algoritme regex pada bidang kata sandi pengguna yang terdapat dalam file data pengguna selama kurang dari satu hari akan menangkap kata-kata yang dapat dikenali yang muncul di kata sandi pengguna dan membunyikan alarm tentang penyimpangan keamanan ini; sandi terselubung tidak berisi kata bronco, patriot, atau ILoveBetoORourkeABunch.

Memeriksa miliaran akun pengguna untuk menemukan pola yang dapat dikenali dalam kata sandi tersimpan yang akan mengekspos kerentanan ini terdengar seperti banyak pekerjaan, tetapi ini benar-benar yang dilakukan algoritme Facebook setiap saat setiap hari. Jenis analisis data ini persis seperti yang dilakukan Facebook di Bumi ini, tetapi tampaknya mereka lebih suka melepaskan algoritme mereka pada data kami untuk mencoba dan mencari tahu jenis pakaian apa yang kami sukai sehingga mereka dapat menjual preferensi kami. pengiklan.

Facebook tidak diragukan lagi akan mengungkapkan lebih banyak informasi tentang penyimpangan keamanan ini dan apa yang akan mereka lakukan untuk memperbaiki masalah, tetapi mengingat skandal Facebook baru-baru ini seputar masalah privasi dan keamanan data, ini bukan perkembangan yang menggembirakan untuk sedikitnya. Fakta bahwa itu hanya ditemukan pada bulan Januari setelah para insinyur yang melakukan pengujian keamanan "rutin" melihat bahwa kata sandi tidak ditutup-tutupi menimbulkan pertanyaan mengapa tes keamanan "rutin" sebelumnya tidak mengungkap masalah ini lebih awal?

Tak perlu dikatakan, gagal mengamankan data yang terdapat di ratusan juta akun pengguna mereka dengan membiarkan kunci akun ini — sandi teks biasa yang tidak kedok — yang terekspos di server internal perusahaan mereka adalah kegagalan paling spektakuler yang pernah terjadi pada apa yang telah menjadi satu setengah tahun yang cukup buruk bagi Facebook.


Tonton videonya: Cara Mengetahui Sandi Fb Orang Lain. Pacar 2021 (September 2021).