Ponad 540 milionów rekordów z danymi użytkowników Facebooka leżało niezabezpieczone na publicznych serwerach

04/04/2019, 14:20 · · · 6

Zespół Cyber Risk w firmie UpGuard znalazł dwa przypadki danych setek milionów użytkowników Facebooka na niezabezpieczonych serwerach, w tym ich Facebook ID, listę like’ów i reakcji, nazwy kont, hasła, zdjęcia i więcej…

W obu przypadkach były to dane gromadzone przez firmy zewnętrzne, które zbierały dane o użytkownikach przez swoje aplikacje. Firma Cultura Colectiva wystawiła ponad 146 GB danych na serwerach, w których znaleziono ponad 540 milionów rekordów na temat użytkowników, w tym ich Facebook ID, nazwę konta, listę lajków, listę reakcji, listę komentarzy i więcej. W drugim przypadku aplikacja „At the Pool”, zbierała i upubliczniała informacje na serwerze Amazon S3 – znaleziono tam bazę danych z polami zawierającymi informacje o ID i kontach użytkowników, listy ich znajomych, like’i, zdjęcia i inne multimedia oraz nawet hasła. Te ostatnie prawdopodobnie dotyczą kont program „At the Pool”, a nie samego Facebooka, ale nie zdziwiłbym się, gdyby niektórzy wykorzystywali to samo hasło w obu miejscach. Samych haseł znaleziono 22 tys. sztuk i były przechowywane w plain text, bez żadnego szyfrowania czy innych zabezpieczeń.

Zespół UpGuard poinformował Cultura Colectiva o problemie dnia 10 stycznia 2019 i ponaglenie wysłali 14 stycznia 2019. Nie otrzymali żadnej odpowiedzi do dzisiaj. 28 stycznia poinformowali Amazona o tym, co znajduje się na ich serwerach i już 1 lutego firma odpowiedziała, że poinformowała o problemie swojego klienta. Danych jednak nadal nie zabezpieczono i dopiero 3 kwietnia 2019 (tj. wczoraj), jak dziennikarze skontaktowali się z Facebookiem, to dane zostały zabezpieczone. Dla kontrastu wyciek „At the Pool” został zatamowany niemalże natychmiast.


Jeśli nadal macie konto na Facebooku i tolerujecie skandaliczne zachowanie tej firmy, to polecam zainteresowanie się jeszcze lekturą ostatniej nowości na tym portalu – żądaniu podania hasła do prywatnych kont email użytkowników. Ten wymóg na razie pojawił się dla osób zakładających nowe konta i nie ma żadnej sytuacji na świecie, w której Facebook powinien opcjonalnie prosić (a co dopiero wymagać!) dostępu do waszych skrzynek mailowych. Facebook już się z tego pomysłu wycofał, po tym, jak informacje o tym procederze trafiły do mediów, ale to nadal ciąg dalszy praktyk testowania tego, co ujdzie im na sucho, bo „być może nikt nie zauważy”. A jeśli to nadal dla was mało, to zapewne ucieszy was informacja, że Facebook przez wiele lat trzymał hasła od 200 do 600 milionów użytkowników w plain text, w formie kompletnie niezaszyfrowanej. Dostęp do tych haseł miało ponad 20 tysięcy pracowników firmy i udowodniono, że na tych rekordach ponad 2000 inżynierów wykonało ponad 9 milionów zapytań.

Naprawdę polecam skasować tam konto, a jeśli trzyma Was tam jakaś grupa dyskusyjna, to może warto poinformować ich o procederach firmy i znaleźć bezpieczniejsze miejsce w sieci dla niej (a jest ich mnóstwo).

6

Wojtek Pietrusiewicz

Wydawca, fotograf, podróżnik, podcaster – niekoniecznie w tej kolejności. Lubię espresso, mechaniczne zegarki, mechaniczne klawiatury i zwinne samochody.