9:03
19/4/2019

Hasła nie tysięcy, ale milionów użytkowników Instagrama były przechowywane w czytelnym formacie. Nie róbmy jednak afery! Facebook chciał o tym poinformować. Ale zrobił to w tak dyskretny sposób, żeby niewiele osób zauważyło. Dlatego prosimy — uszanujcie chęć Facebooka — nie rozpowiadajcie nikomu o tym, co tu przeczytacie na temat tej wpadki.

Facebook ma tyle danych, że chyba ich już nie kontroluje…

Facebooka cechuje ostatnio duża ostrożność w komunikowaniu różnych wpadek. Jedna z nich była związana przechowywaniem haseł 600 mln użytkowników w formie nieszyfrowanej, na serwerze do którego miało dostęp 20 tys. pracowników Facebooka. Problem poważny, ale nie wiadomo czy Facebook by się przyznał, gdyby nie artykuł Briana Krebsa na ten temat. Krebs zaś dowiedział się o sprawie od pracownika Facebooka, który był rozżalony tym, iż dział prawny Facebooka bagatelizował wyniki wewnętrznego śledztwa w tym zakresie.

Kiedy już Facebook postanowił się przyznać, zrobił to w notatce blogowej pod tytułem  “Keeping passwords secure“. Przypomnijmy, iż w pierwotnej wersji notatki napisano.

“We estimate that we will notify hundreds of millions of Facebook Lite users, tens of millions of other Facebook users, and tens of thousands of Instagram users. “

Drobniutka, malutka aktualizacja

Wczoraj tę notkę zaktualizowano, dodając do niej następujący fragment.

(Update on April 18, 2019 at 7AM PT: Since this post was published, we discovered additional logs of Instagram passwords being stored in a readable format. We now estimate that this issue impacted millions of Instagram users. We will be notifying these users as we did the others. Our investigation has determined that these stored passwords were not internally abused or improperly accessed).

Tak to wygląda na blogu Facebooka

Czyli Facebook odkrył, że hasła milionów użytkowników Instagrama były przechowywane w niewłaściwy sposób. Coś takiego zasługiwałoby przynajmniej na osobną notatkę (o sugerowanym tytule: Passwords of many Instagram users are more secure than ever)Nic takiego jednak się nie stało. Facebook tylko uzupełnił blogowy wpis sprzed miesiąca i trudno uwierzyć, aby wybór takiej formy komunikowania nie był podyktowany chęcią uniknięcia rozgłosu. W dodatku na dzień aktualizacji wybrał bardzo wygodną dla Amerykanów datę — moment, kiedy uwaga opinii publicznej w USA była zwrócona w stronę raportu Muellera dot. długo oczekiwanych wyników śledztwa w sprawie wpływu Rosji na wybory w USA. Oczywiście to mógł być przypadek, że aktualizacja wpisu na Facebooku pojawiła się na godzinę przed upublicznieniem ważnego dla Amerykanów raportu.

TechCrunch spytał Facebooka o to, kiedy dokonano odkrycia i czy śledztwo faktycznie zamknięto wczoraj. Odpowiedzi nie otrzymał. Oczywiście jak zwykle w takich przypadkach Facebook ryzykuje, że informacja stanie się mocniej nagłośniona tylko dlatego, że pojawiają się sugestię iż ktoś próbował ją ukryć.

W tym kontekście warto przypomnieć nasz wczorajszy tekst o tym, że Facebook “niechący” wykradł użytkownikom książki kontaktowe. To była jeszcze poważniejsza wpadka, ale firma nie przyznała się do niej sama z siebie. Zrobiła to dopiero po tym, jak Business Insider zaczął drążyć sprawę komunikatu o “importowaniu kontaktów” po weryfikacji adresu e-mail przeprowadzanej na podstawie hasła do tego konta.

A my ciągle swoje…

Dla nas to jest kolejna dobra okazja by przypomnieć wam o pewnych zasadach bezpieczeństwa.

  • Stosujcie różne hasła do różnych usług, bo nawet taki gigant jak Facebook może je przechowywać bez szyfrowania.
  • Korzystajcie z dwuskładnikowego uwierzytelniania (2FA) czyli z takiej opcji logowania, która wymaga podania hasła jednorazowego. Jednak nawet hasła jednorazowe da się wyłudzić, dlatego najlepszym rozwiązaniem jest klucz U2F – małe urządzenie USB, którym potwierdzasz swoje logowanie.
  • Hasła do usług podawajcie tylko przy logowaniu. Nigdy nie podawajcie ich dostawcom usług trzecich, nawet Facebookowi gdy ładnie poprosi.

Przeczytaj także:

39 komentarzy

Dodaj komentarz
  1. A moja rada jest taka: skasować FB. To jest syfski portal i im szybciej ludzie to ogarną tym lepiej dla ich zdrowia i gospodarki światowej.

    • Za późno. Kurczaki już nie potrafią żyć bez KFC.

    • Niebezpiecznik też promuje FB bo ma konto. Skoro taka “gruba ryba” nie usuwa konta to zwykły kowalski tym bardziej.

    • Hardcore mode: po cichaczu skupować ich akcje aż do pakietu kontrolnego.

    • ^: ‘Elon Musk bought Facebook to shut it down’

    • Brak alternatyw, a nawet gdyby się pojawiła – wkrótce stałaby się tym samym, bo nikt nie zrezygnuje z takich pieniędzy na rzecz “MISJI”.

    • ja bym chętnie usunął konto, ale niestety nie mogę, ponieważ na studiach cała wymiana informacji odbywa się za pośrednictwem facebooka… ale jak tylko skończę studia to żegnaj jaszczurobergu

    • Konto usunięte już dawno. Powód? Uznałem je za security risk.

      Część ludzi była bardzo zdziwiona, że wcale nie umarłem oraz jestem dostępny na Telegramie, LinkedIn, Signalu oraz WhatsApp. I też pod telefonem. Który każdy będąc bliższym lub dalszym znajomym musiał poznać.

      To jest problem Facebooka. Dla niektórych Facebook to cały Internet.

    • Ze skupowaniem jest taki problem, że wtedy cena rośnie, także tego.

    • Lukasz032
      Chyba nie myślisz, że ktoś by sprzedał pakiet kontrolny? No i po co kupować akcje? Mając tyle kasy to można by zrobić bez problemu konkurencyjny portal przejmując część tortu ^^

    • Też miałem konto na FB przez studia, ale na szczęście w końcu niedawno mogłem usunąć. Do tego zablokowałem domeny Facebooka na lokalnie zainstalowanym cache DNS.
      Z portalów społecznościowych teraz mam konta na Reddicie (bez podawania swojego nazwiska i znajomości z reala), LinkedIn, GitHub. Do tego kontakt przez tradycyjny nr telefonu, Signal, e-mail.

    • Tyle, ze popatrzcie na to i z tej strony – że nawet tutaj, w komentarzach, kiedy pojawiają się mniej lub bardziej ostrożne sygnały “skasować konto” “ja bym skasował/zakazał prawa fejzbukowi …” czy wręcz “zlikwidować tą firmę” – to zaraz obok w tych samych wpisach dawane są kontrpropozycje z (innych marką) ale bardzo podobnych firm. Które rónwież , jak FB, żyją i żerują na/z masowości i popularności i również ‘muszą’ z definicji karmić się naszymi/Waszymi danymi….

      Czy nie jest tak, że to my przyzwyczajeni i nie potrafiący już się odnaleźć ani funkcjonować bez permanentnego “bycia live&linked” warunkujemy istnienie i rozwój takich rozwiązań . Bo generujemy tak potężny popyt ?

      Ok,
      Człowiek nie zmienia łatwo swoich przyzwyczajeń – i ciężko rezygnuje “z juz zdobytej ziemi” i na tym właśnie bazują wszelakie tego typu wynalazki (jak FB Ln NK i całą rzesz naśladowców) na panicznym wręcz strachu przed “byciem odciętym” ale może czas na poszukanie sobie innych rozwiązań, także społecznościowych ale mniej scentralizowanych i korporacyjych ? Wiem że łatwo się mówi (pisze) i że tutaj nie wystarczy podać słowa klucza – OpenSource, bo dzięki OpenSource mamy wolne oprogramowanie nad którym nie wisi żaden miecz Damoklesa czyli “zapłać nam kasą albo twoimi danymi, kontaktami, życiem znajomych” tylko po prostu ściągnij i używaj jeśli chcesz – ale też i organizacje zaangażowane w tworzeniu otakiego Wolnego Oprogramowania nie zbudują raczej drugiego , wolnego Fejzbuka, bo za tym idą ogromne pieniądze (inwestycje) choćby na utrzymanie tak wielkiej infrastruktury.
      Ale może, zastąpić go/ją (taką scentralizowaną inwestycję) mógł by pewien rozdzaj konfederacji czyli rozproszonej bardziej struktury, który działałby bardziej na zasadzie podobnej do samego Internetu niż sieci Korporacyjnej ? Oparty o wolne, rozwijane przez wiele grup naraz oprogramowanie i utrzymywany podobnie jak projekty typu firefox, Joomla czy linux (rozwój jądra) ?

      Może da się coś takiego w przyszłości stworzyć jeśli tylko ludzie , czyli my, zwykli użytkownicy będą tego bardziej świadomie potrzebować i nie pójdą znowu na totalną łątwiznę – podsunietej im ‘pod fejsy pełnej michy taniego żarcia z supermarketu’ – jesli zaczną wymagac czegoś więcej…

      Pozdrawiam

    • >Część ludzi była bardzo zdziwiona, że wcale nie umarłem oraz jestem dostępny na Telegramie, LinkedIn, oraz WhatsApp.
      xDDD
      z deszczu pod rynnę kolego

    • @studencik ale niebezpiecznik to firma a nie osoba prywatna, fb jako platforma reklamowa jest świetnym narzędziem ale nic poza tym

    • @safd i pomyśleć, że kiedyś wystarczał do wszystkiego irc :)

  2. @taki jeden – Lubię To! :D

  3. jest to niewykonalne. Masa szkół i uczelni ma uczniów DEBILI nawet na kierunkach ~informatycznych. nie wytłumaczysz im że może by tak się przesiąść na np. discorda itp. Potworzyć zakładki tematyczne. Nie oni wolą messengera bo tam są znajomi, karzdy go ma a niektórzy mówią ja nie bede zakładał konta na innym serwisie. I rodzi sie problem bo jak powiadomic takiego o czymś warznym? zostaje tylko mail ale po co sobie utrudniać.

    • no i mają racje, po co zakladac konta na kolejnym portalu? wystarczy ze jeden juz nas szpieguje. nie wiem gdzie jest bazowany discord, ale jesli w jakimkolwiek kraju zachodnim, to kwestia czasu zanim by tak samo szpiegowal jak fb.

    • >karzdy
      >warznym

      No ale to inni są “DEBILAMI”, a tu mamy oświeconą światową elitę, szczególnie informatycy to nadelita nadludzi!

  4. Nawet hasła jednorazowe da się wyłudzić? W jaki sposób?

  5. @Totalny Laik
    Za pomocą pishingu czyli np podrabiając stronę internetową i prosząc o wpisanie jednorazowego kodu. Ale da się bardziej finezyjnie przejmując dostęp do telefonu, czy nawet duplikując kartę SIM u operatora.

    • jesli zduplikujesz karte to oryginal przestaje dzialac i wlasciciel to raczej zauwazy

  6. Grupy FB to podstawa komunikacji która wyparła fora i czaty online dla studentów, uczniów, nauczycieli, fanów sprzętu itp

    Tego się nie da pozbyć.

    • Podpisuje sie pod tym. Mam slacka bo Vladimir nie ma facebooka, ale to nie wygodne

    • Fora są wygodne, bo m.in. są indeksowalne przez wyszukiwarki jak Bing, Google. Poza tym jest na nich większy porządek, a nie np o jednym temacie jest 50 wątków jak w grupach na FB.
      Poza tym jest masa innych serwisów społecznościowych oraz QA: Reddit, Quora, Stack Overflow.

    • Oj, nie mów, oczywiście że się da,
      ale jeśli będzie inna , rozsądniejsza alternatywa ..

      trzeba tylko ludzi o tym przekonać – ze ” coś innego jest bardziej trendy ” i że FB czy inne podobne, są już obciachowe … ;;)

  7. Jakoś szukając wiedzy bardzo fachowej i/lub specjalistycznej wolę posłużyć się forum niż ryjbukiem, który generalnie mnie irytuje swoimi reklamami i wszędobylstwem. Była moda na komunikatory różnej maści, jest na serwis społecznościowy, ale każda moda przemija.

  8. Odnoszę ostatnio wrażenie, że to jakaś skoordynowana akcja ze strony FB. Tak jakby próbowali przyzwyczaić opinię publiczną i dziennikarzy do różnych wpadek do tego stopnia, żeby przestało to być czymś interesującym (“FB niechcący udostępniał zdjęcie przyszywanej babci ze strony matki 500 milionów użytkowników? A kogo to obchodzi, to już szósty raz w tym miesiącu…”).
    Kiedy osiągną odpowiedni poziom znieczulicy poinformują pewnie ukradkiem, co tak naprawdę robią z naszymi kontami, ale wtedy juz nikt nie zwróci na to uwagi. No, chyba że ogłoszą, że sprzedają nasze dane kosmitom, żeby mogli lepiej dostosować program porywania Ziemian do ich osobistych preferencji…

  9. Macie taką fajną stronkę :https://niebezpiecznik.pl/post/przetestuj-swojego-antywirusa/
    Dlaczego jest ona prawie ukryta ? .Odkryłem ją przypadkiem .Super test.

  10. Koniom zakłada się na oczy klapy, żeby się nie rozglądały i lepiej ciągnęły wóz. Osłom, dodatkowo wywiesza się przed pyskiem marchewkę. Czuję, że ma to jakiś związek z FB, ale jeszcze nie wiem jaki.

  11. Co do “przymusu” FB w szkołach, na uczelniach itp.

    Są dwie sprawy: 1. koledzy, 2. nauczyciele/wykładowcy.

    Kolegów można uświadamiać, przekonywać, prosić, jeśli sprawa ważna, o wysyłanie maila, SMSa, telefon itp. – jak nie chcą, to albo kiepscy koledzy, albo sprawa nieważna, więc żadna strata. Jak cię ominie pifffko z pejsbukowacami, to nawet chyba zysk, bo nie tracisz czasu na bezproduktywne pogaduchy, możesz sobie w tym czasie kernel pokompilować (nawet pijąc pifffko), albo co tam lubisz.

    Wykładowcy czy nauczycielowi możesz (nie musisz!) podać nr telefonu, adres mailowy i grzecznie poprosić, aby w miarę możliwości przekazywał ważne informacje także w ten sposób. Jeśli nie chce – trudno. Lecz oprócz tego, nauczyciel jest obowiązany podawać istotne dla nauczania informacje oficjalnymi kanałami (np. system wewnętrzny szkoły/uczelni czy chociażby tablica ogłoszeń) – a FB takim nie jest i nikt nie ma prawa zmuszać Cię do zakładania tam konta. Oczywiście tablica może być mało wygodna, ale tak to już często jest – albo wygoda, albo bezpieczeństwo.

    Od kiedy za szczeniaka rusycystka podeszła nas podstępem i zapisała wszystkich uczniów hurtem bez ich zgody do TPPRu, na każde takie zmuszanie zapala mi się czerwona (nomen omen) lampka w głowie. NO FUCKING WAY! (nie mam nic do j. rosyjskiego – przeciwnie, przydaje się w życiu – i nie wiadomo kiedy może się BARDZO przydać! to samo dotyczy j. niemieckiego)

    • warunki to można stawiać będąc dorosłym człowiekiem przykładowo swojemu pracodawcy w szkole wygląda to z goła inaczej albo się dostosowujesz albo odstajesz od reszty a wiadomo dzieciaki i młodzież nie lubi “odmieńców” i nie dość, że nauczyciel będzie na Ciebie krzywo patrzył bo stwarzasz problemy w dodatku problemy które mogą okazać się precedensem i uczniowie też będą krzywo patrzyli “bo jakto on nie ma fejsa to jakiś zacofaniec przecież fejs to internety są :) Także używanie tego całego facebooka w szkołach czy na uczelniach jest niejako bardzo sprytnym nieoficjalnym standardem z którego bardzo trudno się wypisać bo na takiej uczelni ok tam już nikt krzywo raczej nie spojrzy ale najczęściej tam lądują materiały i to tam odbywa się komunikacja “naukowo-uczelniana”

    • @Mangoland
      Spróbuj odmówić wstawienia zdjęcia (!) na firmowy intranet, albo do dokumentów idących do klienta. Zdarzyło mi się (już przeszłość) pracować z idiotą, który błagał abym zapozował do zdjęcia przez jakiś soft do telekonferencji, bo on musi mieć do dokumentu dla klajenta…

      Akurat FB itp to jeszce ujdzie, jak umiesz separować odpowiednie konta.

  12. Tymczasem telefony Huawei potajemnie łączą się z chińskimi serwerami

    https://www.gsmmaniak.pl/994764/huawei-p30-pro-zapytania-serwery-w-chinach/

    • Huawei P30 Pro jednak nie wysyłał danych do Chin. Mamy wyjaśnienie (aktualizacja)

  13. “Facebook ma tyle danych, że chyba ich już nie kontroluje…” – Mark nie daje rady, trzeba zatrudnić Sztuczną inteligencję do kontrolowania Facebooka. Tylko że wtedy okaże się że sztuczna inteligencja będzie kontrolowała (prawie) całą ludzkość. I będziemy mieli taki wiecie Skynet ;) który wie wszystko o wszystkich.

  14. @Marcin jaki whatsapp i LinkedIn! RMS byłby z Ciebie niezadowolony ;)

Odpowiadasz na komentarz R

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: