Ponad 540 milionów rekordów z danymi użytkowników Facebooka leżało niezabezpieczone na publicznych serwerach
Zespół Cyber Risk w firmie UpGuard znalazł dwa przypadki danych setek milionów użytkowników Facebooka na niezabezpieczonych serwerach, w tym ich Facebook ID, listę like’ów i reakcji, nazwy kont, hasła, zdjęcia i więcej…
W obu przypadkach były to dane gromadzone przez firmy zewnętrzne, które zbierały dane o użytkownikach przez swoje aplikacje. Firma Cultura Colectiva wystawiła ponad 146 GB danych na serwerach, w których znaleziono ponad 540 milionów rekordów na temat użytkowników, w tym ich Facebook ID, nazwę konta, listę lajków, listę reakcji, listę komentarzy i więcej. W drugim przypadku aplikacja „At the Pool”, zbierała i upubliczniała informacje na serwerze Amazon S3 – znaleziono tam bazę danych z polami zawierającymi informacje o ID i kontach użytkowników, listy ich znajomych, like’i, zdjęcia i inne multimedia oraz nawet hasła. Te ostatnie prawdopodobnie dotyczą kont program „At the Pool”, a nie samego Facebooka, ale nie zdziwiłbym się, gdyby niektórzy wykorzystywali to samo hasło w obu miejscach. Samych haseł znaleziono 22 tys. sztuk i były przechowywane w plain text, bez żadnego szyfrowania czy innych zabezpieczeń.
Zespół UpGuard poinformował Cultura Colectiva o problemie dnia 10 stycznia 2019 i ponaglenie wysłali 14 stycznia 2019. Nie otrzymali żadnej odpowiedzi do dzisiaj. 28 stycznia poinformowali Amazona o tym, co znajduje się na ich serwerach i już 1 lutego firma odpowiedziała, że poinformowała o problemie swojego klienta. Danych jednak nadal nie zabezpieczono i dopiero 3 kwietnia 2019 (tj. wczoraj), jak dziennikarze skontaktowali się z Facebookiem, to dane zostały zabezpieczone. Dla kontrastu wyciek „At the Pool” został zatamowany niemalże natychmiast.
Jeśli nadal macie konto na Facebooku i tolerujecie skandaliczne zachowanie tej firmy, to polecam zainteresowanie się jeszcze lekturą ostatniej nowości na tym portalu – żądaniu podania hasła do prywatnych kont email użytkowników. Ten wymóg na razie pojawił się dla osób zakładających nowe konta i nie ma żadnej sytuacji na świecie, w której Facebook powinien opcjonalnie prosić (a co dopiero wymagać!) dostępu do waszych skrzynek mailowych. Facebook już się z tego pomysłu wycofał, po tym, jak informacje o tym procederze trafiły do mediów, ale to nadal ciąg dalszy praktyk testowania tego, co ujdzie im na sucho, bo „być może nikt nie zauważy”. A jeśli to nadal dla was mało, to zapewne ucieszy was informacja, że Facebook przez wiele lat trzymał hasła od 200 do 600 milionów użytkowników w plain text, w formie kompletnie niezaszyfrowanej. Dostęp do tych haseł miało ponad 20 tysięcy pracowników firmy i udowodniono, że na tych rekordach ponad 2000 inżynierów wykonało ponad 9 milionów zapytań.
Naprawdę polecam skasować tam konto, a jeśli trzyma Was tam jakaś grupa dyskusyjna, to może warto poinformować ich o procederach firmy i znaleźć bezpieczniejsze miejsce w sieci dla niej (a jest ich mnóstwo).
Komentarze: 6
A pod artykułem wtyczka “Lubię to” :-)
Niestety Dominik blokuje moje próby wywalenia tego. 😜
Z tego punktu widzenia wyglada na to, że w przypadku biznesu, nie być na FB to prawie jak nie istnieć… szkoda. Ja po aferze z Analityka pozbyłem się konta raz na zawsze. Tzn. Trzymam tylko dummy gdybym musiał gdzieś wejść, ale bez żadnych danych ani aplikacji na iPhonie. Jak do tej pory z dummy skorzystałem tylko raz, wiec da się żyć:)
A pod artykułem wtyczka “Lubię to” :-)
Niestety Dominik blokuje moje próby wywalenia tego. 😜
Z tego punktu widzenia wyglada na to, że w przypadku biznesu, nie być na FB to prawie jak nie istnieć… szkoda. Ja po aferze z Analityka pozbyłem się konta raz na zawsze. Tzn. Trzymam tylko dummy gdybym musiał gdzieś wejść, ale bez żadnych danych ani aplikacji na iPhonie. Jak do tej pory z dummy skorzystałem tylko raz, wiec da się żyć:)