Satojen miljoonien käyttäjien salasanat Facebookin työntekijöiden luettavissa

[Freeze]

Facebook Stored Hundreds of Millions of User Passwords in Plain Text for Years — Krebs on Security

Krebs on Security -sivun mukaan 200-600 miljoonan Facebook -käyttäjän salasanat oli tallennettu vuosiksi plaintext -tiedostoon Facebookin palvelimille, mistä ne olivat yli 20,000 Facebookin työntekijän luettavissa. Facebookin tämänhetkisen arvion mukaan tietoja ei ole väärinkäytetty, mutta tutkinta jatkuu yhä.

 

[Stanley H. Tweedle]

Kukapa nyt näitä väärinkäyttäisi.. enää vajaat yhdeksän kuukautta joulupukkiin jee.

 

[TuBBe]

Todellakin olisi kokonaisen uutisen arvoinen.

 

[Xanthe_]

Eiköhän joku kerennyt tehdä backupin itselleen 'kaiken varalta' random usb tikulle.

 

[E.T]

Kukapa nyt näitä väärinkäyttäisi.. enää vajaat yhdeksän kuukautta joulupukkiin jee.

Eikös Facebook myy suunnilleen kaiken muunkin eteenpäin, niin miksei noitakin?

 

[-SD-]

Erittäin ammattimaista ja vastuullista toimintaa.

 

[ttjm]

Melkein sitä voisi oman tilinsä pikkuhiljaa sulkea tuoltakin. Ei ole ollut appia puhelimessa pitkiin aikoihin, eikä selaimenkaan kautta tule käytyä kirjautumassa edes joka viikko.

 

[L2K2]

Erittäin ammattimaista ja vastuullista toimintaa.

Hieman hämmentävältä tämä kieltämättä kuulostaa (koska uutisoinnista päätellen noille 200000000–600000000 ihmiselle ei ole vaivauduttu vielä kertomaan, että heidän käyttämänsä salasana on ollut selkokielisenä tallennettuna 20000 ihmisen katseltavissa).

Toki: tämän perusteella voinee olettaa tuon vuototietokannan olleen jossain hyvin esoteerisessa muodossa (tuo jostain kuulemani veikkaus POST/GET -pyyntöjen tallentamisesta jossain virhetilanteessa kuulostaisi tällaiselta, siihenhän kirjautumispyyntöön kun tulee mukaan tietenkin vielä siinä vaiheessa selkokielinen salasana), jonka joku riittävän organisaatiossa on lopulta itse huomannut ja se on heti nostanut sen punaisen lipun (ei näin vaan voi lla). Tuossa kohtaa kun se tallennettu tieto ei ole esim. taulussa ”password” vaan osana esim. osoitepyyntöriviä jossain virhetilanteet tallentavassa tietokannassa, ei olisi tavatonta että sitä ei olisi kukaan muu vielä huomannut ja väärinkäyttänyt. Sitten ovat sieltä poistaneet sen oikean datan ja esim. virittäneet ansan katsoakseen lukeeko kukaan työntekijä ylipäätään tuota (edelleen päivittyvää ja kasvavaa) virhelokin kenttää. Näitä lukijoita sitten ei olekaan näkynyt.

Koska siis tosiaan sanoivat aktiivisesti pyrkineensä selvittämään mikä on oikeasti maksimimäärä henkilöitä, joilla on ollut todellinen pääsy dataan.

Toki, siihen isoon pilliin olisi silti varmaan ollut hyvä puhaltaa, ja kertoa käyttäjille, että ”hups vaihtakaa salasananne myös muualla”.

 

[KoneenKokoaja]

Facebook Stored Hundreds of Millions of User Passwords in Plain Text for Years — Krebs on Security

Krebs on Security -sivun mukaan 200-600 miljoonan Facebook -käyttäjän salasanat oli tallennettu vuosiksi plaintext -tiedostoon Facebookin palvelimille, mistä ne olivat yli 20,000 Facebookin työntekijän luettavissa. Facebookin tämänhetkisen arvion mukaan tietoja ei ole väärinkäytetty, mutta tutkinta jatkuu yhä.

Tosin harvemmissa isoimpien firmojen palveluissa (google, Steam, Paypal) tunnistautuminen perustuu pelkkään salasanaan yleensä niissä on muitakin tarkistuksia kuten esim tuleeko kirjautuminen samasta IP avaruudesta kuin normaalisti ja tietokoneelta kuin normaalisti. Usein käyttöön saa myös kaksivaiheisen tunnistuksen, jossa pelkällä salasanalla ei pääse tilille vaan joutuu tekemään muitakin kirjautumistoimenpiteitä varsinkin jos kirjautuminen tapahtuu erikoneelta tai ip avaruudesta kuin normaalista. Tosin itse en käytä naamakirjaa niin en tiedä miten ne siellä ryssii asioita.

 

[JoonaxPeke]

Yksi syy lisää miksi vois poistaa kyseisen paskan kun ei sitä kukaan enää käytäkkää

 

[Spedelinko]

I don't drink milk and i never will.



Lemmyn tervehdys kaikille FB:n käyttäjille.

 

[Obi-Lan]

Salasana on viime vuosituhannen tietoturvaa, alkaa oleman heikoin lenkki käyttäjän identiteetin suojaamisessa.

 

[SatanTwister]

Salasana on viime vuosituhannen tietoturvaa, alkaa oleman heikoin lenkki käyttäjän identiteetin suojaamisessa.

Aina se on ollut johtuen siitä että käyttäjät ovat mitä ovat.

 

[Merkava]

You

 

[Freeze]

Teillä on esimerkiksi yhteisiä harrastuksia, olette samalla keskustelupalstalla jolla on jokin linkitys Facebookiin, olette vaihtaneet viestejä, FB:n tracking on kaivanut foorumista yhteystietosi ja yhdistänyt FB-tilisi sitä kautta ystävääsi. Esimerkiksi.

 

[Peltsii]

Eikös tuo FB kuuntele puhelimen mikrofoniakin? Mainoksia alkaa ainakin tulla heti aiheista, josta käy vaikka keskustelua ääneen..

Google haut se ainakin skannaa markkinointiin.

 

[Merkava]

You

 

[Freeze]

No, aihe lähinnä vahvistaa sen että FB on saatanasta

Edit: https://www.washingtonpost.com/news...all-your-friends-are-even-better-than-you-do/

 

[Merkava]

You

 

[KoneenKokoaja]

- ei harrasteta samoja
- ei olla missään samalla palstalla
- ei ole vaihdettu suoraan mitään viestejä millään alustalla
- selaimessani on FB:n cookiet estetty
- enkä kertaakaan ole muutenkaan "googlettanut" kyseistä henkilöä
- hän ehkä on minua, mutta juuri mitään ei ole

IP ollut ajoittain sama, ja 3. osapuolen kanssa olen hänen nimensä maininnut Mese-viesteissä. Mahdollisuuksien rajoissa että sama 3. osapuoli on Mese-viestissä 2. osapuolelle maininnut minun nimen.

BTW. Facebook ei varmasti pääse googletus tietoihin käsiksi, koska Google ja Facebook ovat kilpailevia firmoja joiden molempien bisnes perustuu mainosten kohdentamiseen verkossa. Google ei edes luovuta oman tietosuojalausekkeensa perusteella asiakkaidensa tietoja ulkopuolisille, koska Googlen koko bisnes perustuu siihen, että vain Google tietää tiedot joilla mainoksia voi kohdentaa.

 

[Peltsii]

BTW. Facebook ei varmasti pääse googletus tietoihin käsiksi, koska Google ja Facebook ovat kilpailevia firmoja joiden molempien bisnes perustuu mainosten kohdentamiseen verkossa. Google ei edes luovuta oman tietosuojalausekkeensa perusteella asiakkaidensa tietoja ulkopuolisille, koska Googlen koko bisnes perustuu siihen, että vain Google tietää tiedot joilla mainoksia voi kohdentaa.

Jos olen googlettanut jotain puhelimella ja avaan fb:n, niin fb on täynnä mainoksia asiasta jota etsin googlella äskettäin tai selailin netissä. En tiedä tuleeko tieto google hausta vai nettisivuilta joilla vierailee.0

 

[Merkava]

You

 

[Latvus]

Tulossivuilta joilla vierailet, olettaisin. FB:n cookie tallentaa että "kas, tää on kiinnostunut näistä".

Oma piuha paloi poikki, kun ei vaan voi olla samaa websivua, kommunikaatiota, hemmetti meillä ei ole edes yhteistä kieltä. Silti kyylä FB naitti meidät.

Oisko teillä muita yhteisiä kavereita Facebookissa, vaikka et itse olekaan hänen kaveri?

Minulle ainakin ehdottelee työkavereita jatkuvasti ja sitä enemmän kun niitä lisää.

 

[Matolaatikko]

Itsellä tulee nyt tänä vuonna 4 vuotta täyteen kun lähdin tuolta pois. 10 vuotta tuli täyteen ja samalla mitta.

Alkoi vain mainokset tökkimään ja ne arvonnat vituttamaan, niin oli paree lähteä pois.

 

[Raikku]

Enpä ole koskaan fecessä enkä ole. Tai muissakaan sosialisoivissa medioissa.

 

[Griffin]

Mitäköhän saitteja ja IP osoitteita on muuten syytä pistää DENY listalle palomuuriin, jos haluaa mahdollisimman tehokkaasti blokata facen ja sen kaverit?
Edit:
Ilmeisesti ainankin:

• 66.220.144.0 – 66.220.159.255

• 69.63.176.0 – 69.63.191.255

• 204.15.20.0 – 204.15.23.255

What Is Facebook's IP Address?

Mutta onko sitten muita sen kavereiden iP alueita?
Edit2
Eikä nuo edes pidä näköjään paikkansa. Myös 31.13.72.36 työntää kotisivun..
Eli alue:31.13.64.0 - 31.13.127.255 Taitaa olla FB:n

 

[KoneenKokoaja]

Jos olen googlettanut jotain puhelimella ja avaan fb:n, niin fb on täynnä mainoksia asiasta jota etsin googlella äskettäin tai selailin netissä. En tiedä tuleeko tieto google hausta vai nettisivuilta joilla vierailee.0

Kaikille netti sivulle voi upottaa javascript ohjelma pätkän joka kertoo vierailusi sivustolla esim Facebookille, Googlelle tai muulle tekniikka firmalle. Samalla koneellesi asennetaan cookie jolla sinut tunnistetaan. Tämä ohjelman pätkä ajetaan heti kun menet nettisivulle nettiselaimesi javascript moottorissa. Jos menet toiselle sivulle jolla on sama javascript koodin pätkä se ajetaan uudestaan ja katsotaan onko cookieta koneessa. Tällä tavalla IT-jätit voivat seurata millaisilla sivuilla vierailet verkossa kaikilla niillä sivuilla mihin on heidän javascript koodinsa upotettu.(nykyään melkein joka sivulle, jolloin he tietävät melkein kaiken millä sivuilla olet käynyt verkossa)

Sivustojen ylläpitäjät houkutellaan laittamaan noita javascript koodinpätkiä omalle sivulleen tarjoamalla erilaisia palveluita tai etuja sitä vastaan. Kuten esimerkiksi mahdollisuuden saada mainostuloja tai tietoa sivustolla vierailevista ihmisistä ja heidän kiinnostuksen kohteistaan kuten miten monta minuuttia he viettivät milläkin aihealueella. Mikä uutinen kiinnosti eniten. Mitä selainversiota käytettiin ja paljonkon sivulla vieraltiin tms. Tästä syystä noita javascript koodin pätkiä on melkeen joka sivulla, jotka lähettävät tiedot selailusta sivulla googlelle, facebookelle tai muille firmoille.

Tästä syystä nykyään joka sivulla on noita ikkunoita, jotka ilmoittavat käytämme cookieta ja saa klikata hyväksyntä nappia (tosin aina cookieita ei käytetä mainosten kohdennukseen, mutta usein käytetään).

Tiedonkeruuta voi rajoittaa poistamalla cookiet säännöllisesti tai selaamalla yksityistilassa jolloin cookiet poistuvat aina kun sulkee selaimen ikkunan tai käyttämällä softaa joka poistaa ne.

Useimmat teistä ovat jo tilanteessa, että Google ja Facebook tietää teistä, teidän kiinnostuksen kohteista, poliittisesta suuntauksesta, seksuaalisesta suutauksesta, terveydentilastanne, työtilanteestanne, harrastuksista ja monesta muusta asiasta enemmän kuin oma perheenne tietää teistä, koska te itse olette nettikäyttäytymisellänne nämä asiat näille firmoille kertoneet ja heillä on kapasiteettia kerätä pienet tiedonmurut ja analysoida ne läpi supertietokoneidensa avulla. Pienistäkin tiedonmuruista voi näet muodostaa hyvin tarkkoja tietoja kun niitä kerää tarpeeksi ja yhdistelee tarpeeksi massiivisessa skaalassa. Sillä voi myös tehdä satojenmiljardien eurojen arvoista bisnestä.

 

[Merkava]

You

 

[Griffin]

Pitäisi olla palvelu, joska tutkisi, mitä IP osotteita sivu X oikeasti tarvitsee. Selain voisi sitten palvelusta käydä hakemassa tiedot ja blokata kaikki muut IP:t, kun ollaan ko palvelussa.

 

[dragon age]

Kaikille netti sivulle voi upottaa javascript ohjelma pätkän joka kertoo vierailusi sivustolla esim Facebookille, Googlelle tai muulle tekniikka firmalle. Samalla koneellesi asennetaan cookie jolla sinut tunnistetaan. Tämä ohjelman pätkä ajetaan heti kun menet nettisivulle nettiselaimesi javascript moottorissa. Jos menet toiselle sivulle jolla on sama javascript koodin pätkä se ajetaan uudestaan ja katsotaan onko cookieta koneessa. Tällä tavalla IT-jätit voivat seurata millaisilla sivuilla vierailet verkossa kaikilla niillä sivuilla mihin on heidän javascript koodinsa upotettu.(nykyään melkein joka sivulle, jolloin he tietävät melkein kaiken millä sivuilla olet käynyt verkossa)

Sivustojen ylläpitäjät houkutellaan laittamaan noita javascript koodinpätkiä omalle sivulleen tarjoamalla erilaisia palveluita tai etuja sitä vastaan. Kuten esimerkiksi mahdollisuuden saada mainostuloja tai tietoa sivustolla vierailevista ihmisistä ja heidän kiinnostuksen kohteistaan kuten miten monta minuuttia he viettivät milläkin aihealueella. Mikä uutinen kiinnosti eniten. Mitä selainversiota käytettiin ja paljonkon sivulla vieraltiin tms. Tästä syystä noita javascript koodin pätkiä on melkeen joka sivulla, jotka lähettävät tiedot selailusta sivulla googlelle, facebookelle tai muille firmoille.

Tästä syystä nykyään joka sivulla on noita ikkunoita, jotka ilmoittavat käytämme cookieta ja saa klikata hyväksyntä nappia (tosin aina cookieita ei käytetä mainosten kohdennukseen, mutta usein käytetään).

Tiedonkeruuta voi rajoittaa poistamalla cookiet säännöllisesti tai selaamalla yksityistilassa jolloin cookiet poistuvat aina kun sulkee selaimen ikkunan tai käyttämällä softaa joka poistaa ne.

Useimmat teistä ovat jo tilanteessa, että Google ja Facebook tietää teistä, teidän kiinnostuksen kohteista, poliittisesta suuntauksesta, seksuaalisesta suutauksesta, terveydentilastanne, työtilanteestanne, harrastuksista ja monesta muusta asiasta enemmän kuin oma perheenne tietää teistä, koska te itse olette nettikäyttäytymisellänne nämä asiat näille firmoille kertoneet ja heillä on kapasiteettia kerätä pienet tiedonmurut ja analysoida ne läpi supertietokoneidensa avulla. Pienistäkin tiedonmuruista voi näet muodostaa hyvin tarkkoja tietoja kun niitä kerää tarpeeksi ja yhdistelee tarpeeksi massiivisessa skaalassa. Sillä voi myös tehdä satojenmiljardien eurojen arvoista bisnestä.

Massiivista tiedonkeruuta voitaisiin ehkä käyttää monella tapaa väärin.