שוב מסתבכת: פייסבוק פגעה בפרטיות של מאות מיליוני משתמשים

(עדכון) - לפי הדיווח של עיתונאי האבטחה בריאן קרבס, פייסבוק אחסנה מאות מיליוני סיסמאות לחשבונות של משתמשיה מבלי להצפין את המידע הרגיש, כך שעובדי החברה יוכלו לראות את הפרטים • רוב הנפגעים הם כנראה משתמשי פייסבוק לייט, והחברה ציינה כי תיצור קשר עם כל המשתמשים שהושפעו מכך

פייסבוק  / צילום: רויטרס Dado Ruvic
פייסבוק / צילום: רויטרס Dado Ruvic

פייסבוק אחסנה מאות מיליוני סיסמאות לחשבונות של משתמשיה מבלי להצפין את המידע הרגיש, כך שעשרות אלפי עובדי החברה יכלו לראות את הפרטים. עיתונאי האבטחה בריאן קרבס דיווח על המחדל באתר שלו krebsonsecurity ופייסבוק אישרה את הדיווח בפוסט שפרסמה היום (ה') בבלוג הרשמי שלה. לפי הדיווח של קרבס, בין 200 ל-600 מיליון ממשתמשי הרשת עשויים להיות מושפעים מכך, חלק משמעותי מתוך 2.7 מיליארד המשתמשים שיש ברשת בסך הכל.

בפוסט של פייסבוק נכתב כי "כחלק מבדיקת אבטחה שגרתית שערכנו בחודש ינואר, מצאנו כי חלק מהססמאות של המשתמשים אוחסנו במערכות הפנימיות שלנו בפורמט שניתן לקרוא. זה תפס את תשומת לבנו מכיוון שהמערכות שלנו נועדו להסוות ססמאות באמצעות טכניקות שהופכות אותן לבלתי קריאות. תיקנו את הסוגיות הללו וכאמצעי זהירות, נעדכן כל מי שנמצא שהסיסמאות שלו אוחסנו באופן הזה".

עוד הצהירה החברה כי "הסיסמאות מעולם לא היו חשופות לאף אחד מחוץ לפייסבוק, ולא מצאנו כל ראייה לכך שמישהו מתוך פייסבוק עשה בהן שימוש לרעה, או ניגש אליהן באופן לא ראוי. אנחנו משערים שנשלח התראות למאות מיליוני משתמשי פייסבוק לייט, עשרות מיליוני משתמשי פייסבוק אחרים ועשרות אלפי משתמשי אינסטגרם". לפי הדיווח של קרבס, הססמאות אוחסנו בצורה גלויה שכזו מאז 2012 בחלק מהמקרים.

פייסבוק הסתבכה לפני כן בשערוריות רבות הנוגעות לאבטחה ופרטיות, בהן התקרית שבה נחשף כי האקרים גנבו פרטים על 29 מיליון משתמשיה בהם שמות, פרטי קשר, תאריכי לידה, ומקומות עבודה; שערוריית קיימברידג' אנליטיקה שבה דלפו פרטים על 87 מיליון משתמשים לחברת הייעוץ הפוליטית; ולאחרונה נחשף כי אפליקציות שונות העבירו מידע רגיש, ובין היתר מידע רפואי, על משתמשיהן לפייסבוק מבלי ליידע את המשתמשים.

"לא יושמה פרקטיקה שנועדה למנוע את חשיפת הסיסמאות"

שחר מינץ, מנכ"ל הסארטאפ הישראלי chatway, שמהווה פלטפורה משמשת לתקשורת פנים ארגונית בסגנון "סלאק" או "מאנדיי", הכוללת צ'אטים וניהול סיסמאות של משתמשים רבים, מסביר כי אף על פי שפייסבוק לייט מפותחת בישראל (ראו ריאיון עם מנהל הפרויקט). "ממש לא הכרחי שהמחדל מקורו בישראל". מינץ מבהיר כי "פייסבוק לייט היא client (צד לקוח) המתקשר עם השרתים של פייסבוק. השרתים בדרך כלל אחראים לבצע או לפחות לודא את ביצוע ההצפנה של הסיסמה ומשאין הכרח לפיתוח שרתים ייעודיים לפייסבוק לייט, בטח שלא עבור תהליך ההזדהות, לא ניתן לומר ששורש הבעיה בפיתוח שהתרחש בישראל".

מינץ מעריך שיתכן ש"במקרה הזה לא יושמה פרקטיקה שנועדה למנוע את חשיפת הסיסמאות, בשם one-way hashing". פרקטיקה זו מאפשרת, לדבריו, "את הצפנת הסיסמה בזמן ההרשמה, כך שהיא מועברת לבסיס הנתונים באופן מוצפן. בפעמים הבאות, כשהמשתמש מתחבר לשרות (מבצע לוג-אין), לוקחים את הסיסמה שהוא הזין, מעבירים אותה דרך אותה ההצפנה ובודקים שהסיסמה המוצפנת הקיימת בבסיס הנתונים תואמת לזו שהוצפנה במקור, בזמן ההרשמה לשרות. כך בעצם אפשר ליהנות מתהליך הזדהות בטוח מבלי לשמור את הסיסמה בצורתה המקורית".

"ייתכן שלא הייתה על האחראים לדבר בקרה מספקת", מעריך מינץ. לדבריו, "מצב כזה יכול להתרחש כאשר סומכים על צוות הפיתוח יותר מדי, יחד עם כשל באכיפת נהלי אבטחה שאם היו מיושמים ודאי היו עולים על הפער הזה מזמן".

מה להערכתך עלולה להיות מידת החשיפה של סיסמאות אלה כעת?

"אין הכרח שהמידע נפרץ, אלא רק עובדתית - סיסמאות רבות היו גלויות בפני הרבה אנשים בדאטה בייס שנחשב לכזה שאין בו מידע רגיש כמו סיסמאות אישיות. על פי הפרסומים, על פני תקופה ממושכת כחלק מפיתוח המערכת, בוצעו מליוני שאילתות לאחזור נתונים מהדאטה בייס שכללו בין היתר בתשובתן גם סיסמאות גלויות של משתמשים. שאילתה כזו יכולה למשל להתבצע כאשר מפתחים ממשק מחודש להצגת נתוני משתמש, אז סביר שהתשובה לאחזור נתונים אלה כללה גם את סיסמתו. זה בפני עצמו מעניין, איך יכול להיות שאף אחד לא שם לב לתשובה שחוזרת עם סיסמאות משתמשים?".