Facebook хранил миллионы паролей к Instagram в открытом виде

Когда в марте Facebook (запрещена в РФ) впервые сообщил, что пароли некоторых пользователей визуальной соцсети Instagram (запрещена в РФ) хранились на серверах виде незашифрованного текста, речь шла о "десятках тысяч" аккаунтов. Накануне интернет-гигант признался: их были миллионы.

Когда в марте Facebook (запрещена в РФ) впервые сообщил, что пароли некоторых пользователей визуальной соцсети Instagram (запрещена в РФ) хранились на серверах виде незашифрованного текста, речь шла о "десятках тысяч" аккаунтов. Накануне интернет-гигант признался: их были миллионы.

Сбой также затронул сотни миллионов человек, пользовавшихся "облегченным" приложением Facebook Lite и десятки миллионов пользователей основного мобильного клиента, пишет The Verge.

По очевидным причинам любое приложение или сайт должны хранить пароли пользователей в зашифрованном виде — так, чтобы получить к ним доступ не могли, в том числе, сотрудники самой интернет-компании. При создании аккаунта и вводе пользователем пароля в первый раз должен создаваться так называемый хэш — цифровой отпечаток пароля, создаваемый на его основе сложным алгоритмом и, в идеале, не позволяющий реконструировать из него сам пароль. Затем каждый раз, чтобы проверить правильность введённого пароля, сайт или приложение опять преобразуют введенные пользователем данные, и сличают результат с хранящимся хэшем.

Как обнаружил в марте этого года исследователь в области компьютерной безопасности Брайан Кребс, Facebook из-за сбоя хранил многие пароли незашифрованными ещё с 2012-го года. При этом к ним, теоретически, мог получить доступ любой из 20 000 сотрудников. В компании тогда заявили, что число затронутых аккаунтов относительно невелико, признаков нарушений со стороны сотрудников не найдено, и что проблема решена.