Facebook : oups… des centaines de millions de mots de passe stockés en clair

Le par  |  16 commentaire(s)
pouce-bas

Sur des serveurs internes, Facebook a stocké des centaines de millions de mots de passe en clair. Ils étaient accessibles pour des milliers d'employés du groupe.

Sans aucune forme de chiffrement, Facebook annonce que les mots de passe de centaines de millions d'utilisateurs ont été stockés de manière non sécurisée sur ses serveurs internes. Une boulette qui a pu les rendre visibles pour des employés ayant accès aux serveurs.

C'est un point sur lequel le groupe de Mark Zuckerberg insiste, ces mots de passe en clair " n'ont jamais été visibles par quiconque en dehors de Facebook (ndlr : pas d'accès possible depuis l'extérieur) " et d'ajouter qu'à ce jour, " nous n'avons trouvé aucune preuve indiquant un abus ou accès indu par quiconque en interne. "

Reste que c'est une erreur pour le moins étonnante qui va à l'encontre de mesures élémentaires de sécurité. Le problème a été détecté en janvier lors d'un contrôle de sécurité de routine, puis corrigé.

facebook-surprise

Bien évidemment, les mots de passe stockés sont normalement chiffrés avec l'application de méthodes de hachage (hash) cryptographique et salage. Le salage consiste à insérer des caractères aléatoires au mot de passe avant d'appliquer la fonction de hachage à sens unique. C'est une protection supplémentaire contre des attaques de type dictionnaire.

Si tout a été corrigé, l'origine du problème n'est pas explicitée pour autant. Selon Facebook, le problème a affecté " des centaines de millions d'utilisateurs de Facebook Lite (ndlr : version allégée du réseau social), des dizaines de millions d'utilisateurs de Facebook et des dizaines de millions d'utilisateurs d'Instagram. " Ils vont être prévenus.

La portée de l'incident n'est a priori pas dramatique, mais c'est un énième mauvais point pour l'image de Facebook.

D'après KrebsOnSecurity, qui a obtenu de informations d'une source anonyme interne chez Facebook, entre 200 et 600 millions d'utilisateurs sont concernés par ces mots de passe stockés en clair. Ils auraient été consultables par plus de 20 000 employés de Facebook.

Le problème pourrait remonter à 2012. Les logs auraient révélé que quelque 2 000 ingénieurs et développeurs ont effectué des recherches de données contenant des mots de passe en clair.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
zutnanardestdejapris Hors ligne Héroïque 849 points
Le #2056181
Ca craint à bloc et ce n'est que l'arbre qui cache la forêt.
Le #2056182
Juste Facebook...
Le #2056183
Zuuuut mon code de la dernière fois était : 000000
Je vais encore changer pour mettre "azerty"

Pour une fois que c'est pas du "piratage" c'est carrément à la source même qu'il y a un problème, c'est grave, le consommateur est "attaqué" par la boite et par les pirates.

Par une journée où il ne sera pas emmerder par ces trucs à la con...
Le #2056184
If major leak then
"Nous sommes désolés"
Le #2056185
Je propose de renommer l'entreprise en Faillebook...
Même pas besoin de changer de logo comme ça.
Le #2056188
Kiriito a écrit :

Je propose de renommer l'entreprise en Faillebook...
Même pas besoin de changer de logo comme ça.


Ou FarceBook ça marche aussi... Parce que là c'est franchement une bonne blague...
Le #2056190
Perso, je serais radical avec ce genre de conneries, mais bon...
Le #2056196
Certains ingénieurs de Facebook n’ont pas dû se gêner, les mots de passe doivent désormais se retrouver en vente sur le darkweb ...

Top Facebook
Le #2056202
Les couples emails/mdp se revendent bien car bien souvent cela donne accès à des comptes Spotify, Netflix, Deezer, Amazon Prime... Je ne crois pas une seule seconde qu'aucun employé n'en ait profité depuis le temps.
Le #2056207
Il y a clairement un problème de validation du code... c'est la base de la base.

Maintenant depuis 2012, personne ne s'est posé de questions (ceux qui ont du voir le code ou la table en question) ? J'ai du mal a y croire...
Genre 2000 ingénieurs/développeurs ont vu la table (peut être a de multiples reprises) et aucun d'entre eux, en tant qu'ingénieur/développeur, n'a trouvé ça anormal ? LOL
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme