خطای نگهداری گذرواژه فیس بوک کاربران روی فایل متنی

موسسه امنیتی Krebs On Security به تازگی در گزارش خود اعلام کرده است که شرکت فیس بوک، گذرواژه فیس بوک میلیون‌ها نفر از کاربران خود را به مدت چند سال در یک فایل متنی نگه‌داری می‌کرد. این فایل توسط تمام کارمندانی که به داده‌های داخلی دسترسی داشتند قابل مشاهده بوده است. البته این شرکت سرسختانه اصرار دارد که با وجود امکان دسترسی کارمندانش به گذرواژه‌ فیس بوک کاربران، هیچ نشانه‌ای مبنی بر سواستفاده از این گذرواژه‌ها وجود ندارد. فیس بوک این موضوع را در وبلاگ خود اعلام کرد و اعلام نمود که مشکل امنیتی اکنون برطرف شده است و به کاربرانی که ممکن است متاثر این نقض امنیتی باشند اطلاع‌رسانی خواهد کرد.

تمامی شرکتها اصولا گذرواژه کاربران خود را به صورت رمزنگاری شده یا هش شده نگه‌داری می‌کنند، اما به نظر می‌رسد به دلایلی نظیر خطاهای داخلی در چندین برنامه زیرمجموعه، گذرواژه فیسبوک کاربران به صورت متن ساده در یک فایل نگه‌داری می‌شدند.

دسترسی کارمندان به گذرواژه کاربران

بر اساس گفته‌های یکی از کارمندان فیس بوک که نخواست نامش فاش شود، با وجود این فایل، احتمالا حساب کاربری ۲۰۰ تا ۶۰۰ میلیون کاربر فیس بوک در معرض دسترسی قرار داشتند.

کارمند دیگری گفته است که در سال‌های اخیر  و بر اساس لاگ‌های ثبت شده در سرور، حدود ۲۰۰۰ نفر از کارشناسان فنی یا توسعه‌دهندگان این شرکت بیش از ۹ میلیون درخواست دسترسی به این فایل متنی حاوی گذرواژه‌ فیس بوک کاربران را داشتند که هنوز دلیل و انگیزه آنها برای دسترسی به این فایل مشخص نیست.

بزرگترین شبکه اجتماعی دنیا آمار دقیقی از تعداد کارمندانی که به فایل‌های حاوی گذرواژه فیس بوک دسترسی داشته‌اند ارائه نکرده است اما ادعا می‌کند هیج نشانه‌ای مبنی بر این که شخصی عمدا به دنبال گذرواژه‌ها بوده یا نشانه‌ای مبنی بر سو استفاده از آن‌ها وجود ندارد.

البته در این زمینه به کاربران هشدار داده شده است ولی نیازی نیست که کاربران گذرواژه خود را تغییر دهند.

احتمال دسترسی به گذرواژه‌ فیس بوک، فیس بوک لایت و اینستاگرام

طبق بیانیه ارائه شده توسط فیسبوک، صدها میلیون کاربر فیس بوک لایت، ده‌ها میلیون کاربر فیس بوک و ده‌ها هزار کاربر اینستاگرام تحت تاثیر این مسئله قرار گرفته‌اند.

فیسبوک لایت (Facebook Lite) یک نسخه سبکتر از فیس بوک است که برای آن دسته از کاربرانی که سرعت اینترنت کشورشان پایین است یا حافظه گوشی آنها بسیار کم و محدود است طراحی شده، تا آن‌ها نیز بتوانند از قابلیت‌های اصلی و محوری فیس بوک استفاده کنند و اخبار و گزارش‌های موردنظر خود را در فضای مجازی به اشتراک بگذارند

Twitterو Github نیز در ماه‌های اخیر دچار مشکلات مشابهی شده بودند با این تفاوت که گذواژه‌های کاربران این دو سایت در مدت زمان کوتاهی در دسترس تعداد محدودی از کارکنانشان قرار گرفته بود.

جالب اینجاست که فیس‌بوک برای اولین بار در ژانویه 2019 طی یک بازبینی روزمره و بعد از چند سال از وجود این فایل حاوی گذرواژه فیسبوک کاربران خود آگاه شد.

کارشناسان حریم خصوصی با تحت فشار قرار دادن فیسبوک، این شرکت را مجبور کردند تا از روش‎های احراز هویت دو عاملی نظیر ارسال احراز هویت مبتنی بر پیام کوتاه برای ورود کاربران استفاده کنند تا حساب کاربری و حریم خصوصی کاربران با امنیت بیشتری همراه باشد.

مشکلات امنیتی پی در پی فیس بوک

این مسئله که اخیرا مطرح شده است، تنها مشکل امنیتی فیس بوک نیست، چرا که در اکتبر سال 2018 نیر یک هکر موفق شد با دزدیدن توکن‌های ورود کاربران، به اطلاعات شخصی 29 میلیون کاربر دسترسی پیدا کند.

همچنین مدتی پیش از این نیز خبر فروش پیام‌های خصوصی به سرقت رفته 81 هزار کاربر فیسبوک منتشر شد. تمامی این اخبار نشان می‌دهد که این شبکه‌ اجتماعی بزرگ باید هر چه سریع‌تر به دنبال تغییر و ارتقا سیاست‌های امنیتی خود در حوزه احراز هویت کاربران باشد.