Журнал ИКС

Разделы сайта

• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

Ближайшие события

Facebook скупает украденные пароли на черном рынке

16 ноября 2016

Директор по безопасности Алекс Стамос на веб-саммите в Лиссабоне сказал, что Facebook осуществляет покупку паролей, продаваемых на онлайн черных рынках, чтобы выяснить, какие из них пользователи используют повторно.

CNET цитирует Стамоса:

«Повторное использование паролей является причиной № 1 всего зла в Интернете».

Сообщается, что Facebook сверяет пароли с хэшами паролей пользователей, чтобы увидеть, совпадают ли они. Стамос отметил, что данная работа является «тяжелой с точки зрения проводимых вычислений», но это дает возможность Facebook предупредить десятки миллионов своих пользователей и попросить их усилить свои пароли.

Нам уже было известно, что Facebook сверяет учетные данные пользователей с кэшами украденных логинов, размещенный в онлайн доступе.

Это стало известно после утечки данных из компании Adobe в 2013 году, когда команда по обеспечению безопасности Facebook расследовала утечку данных, чтобы выявить пользователей, которые совершили вопиющий грех против безопасности, используя один и тот же пароль для входа как на Facebook, так и в Adobe.

Обнаружив совпадения, Facebook заблокировал пользователей, скрыв их аккаунты от глаз общественности, пока владельцы не изменили свои пароли.

В то время, многие люди задавались вопросом, как Facebook удалось обнаружить повторное использование одного и того же пароля без сохранения этих паролей в открытом или в каком-либо другом незашифрованном виде. Некоторые могут задать тот же вопрос в отношении покупок паролей на черном рынке.

Крис Лонг, менеджер, отвечающий за реагирование на инциденты в сфере безопасности Facebook, дал в свое время этому объяснение:

«Мы использовали пароли, сохраненные в виде простого текста, которые уже были восстановлены исследователями. Мы взяли эти восстановленные пароли и прогнали их через тот же самый код, который используем для проверки вашего пароля при входе в систему».

Проще говоря, Facebook не хранит пароли пользователей. Правильнее сказать, компания прогоняет их через однонаправленную хэш-функцию и сохраняет результат.

Компания имеет возможность делать это, поскольку пароли могут быть использованы для создания хэша, но в обратную сторону функция не действует: хэш не может быть использован для воссоздания пароля, ставшего его основой.

Когда кто-то входит на свою страницу Facebook, введенный пароль пропускается через хэш-функцию в одну сторону. Если результат соответствует той записи, которая имеется у Facebook, то пользователю разрешается войти в аккаунт.

Facebook использовал тот же самый процесс в отношении паролей, восстановленных исследователями из данных компании Adobe. То же самое делается и с паролями, приобретенными на черном рынке: если восстановленный пароль, проходящий через хэш-функцию Facebook, соответствует записи компании для этого пользователя, Facebook знает, что нашел еще одного человека, использующего один и тот же пароль повторно.

Зная эту давнишнюю новость о том, как Facebook защищает своих пользователей, мы, тем не менее, не знали, что компания выкупает пароли у мошенников. Это, конечно, откровение, но с другой стороны, если подумать, то такие действия вполне обоснованы: как еще компании получить взломанные пароли?

И все же, это поднимает определенные этические вопросы. Имеет ли право компания субсидировать кибермошенников?

Это можно сравнить с платой вымогателям, и это именно то, от чего правоохранительные органы изо-всех сил отговаривают жертв вымогательств.

В действительности, в июле этого года национальная полиция Голландии и Европейская Полиция запустили портал под названием «Никаких больше выкупов», направленный на оказание помощи в восстановлении украденных данных без необходимости платить выкуп жуликам, которые могут попытаться потребовать от вас денег второй и в третий раз, или… ну вы поняли идею.

Что эти правоохранительные органы будут думать о компании Facebook, которая самолично кладет деньги в карманы мошенников? Что они должны думать, учитывая, что это делается ради защиты пользователей от всяких угроз — в том числе и от вредоносного ПО, например, от программ-вымогателей?

Источник

Оставить свой комментарий:

Комментарии по материалу

Данный материал еще не комментировался.

Заметили ошибку в тексте? Выделите её мышью и нажмите Ctrl+Enter. Спасибо!