Facebook спрашивал у новых пользователей пароли от электронной почты «для проверки адреса»
Похоже, Facebook в интернете становится настоящим эталоном дырявости и небезопасных практик. Всего две недели назад все обсуждали, зачем инженеры компании заносят пароли пользователей в логи и хранят их в открытом виде на Github. Сейчас — новый пример удивительного решения. Как выяснилось, у некоторых новых пользователей для подтверждения регистрации Facebook запрашивал пароль от электронной почты, то есть от личного почтового ящика, указанного при регистрации.
Сложно понять, как вообще кому-то из инженеров пришла в голову такая мысль, и почему никто из коллег не возразил ему. Подобная практика в наше время встречается исключительно редко. Хотя нужно признать, что некоторые сервисы иногда этим грешили. Например, давно почивший на свалке истории MySpace во времена своего расцвета тоже спрашивал у пользователей пароль от электронной почты.
«Чтобы продолжить использование Facebook, вам необходимо подтвердить свою электронную почту, — говорится в сообщении. — Поскольку вы зарегистрировались с [адрес электронной почты], вы можете сделать это автоматически через своего почтового провайдера», — говорится в сообщении (на скриншоте вверху), где Facebook просит пользователя ввести пароль от почтового ящика.
«Это за пределами добра и зла, — считает консультант по безопасности Джейк Уильямс. — Они не должны принимать ваш пароль или обрабатывать его в фоновом режиме. Если это требуется для регистрации в Facebook, то вам лучше не регистрироваться».
В официальном комментарии Facebook заявила, что не хранит пароли от электронной почты пользователей. Она также объявила, что собирается полностью прекратить эту практику: «Мы понимаем, что вариант проверки пароля — не лучший способ проверки почтового ящика, поэтому собираемся прекратить его предлагать», — сказал представитель компании.
Неизвестно, насколько широко была распространена такая практика, но представители Facebook подчеркнули, что у пользователей сохранялась возможность обойти требование пароля и активировать учётную запись более привычными средствами, такими как «код, отправленный на их телефон или ссылка, отправленная на почту». Впрочем, эти варианты предоставлялись, если пользователь вместо ввода почтового пароля нажимал на ссылку «Нужна помощь?» (Need help?) в левом нижнем углу страницы, что нельзя назвать интуитивно понятной навигацией.
Судя по всему, Facebook запрашивал пароли от электронной почты у самых «подозрительных» пользователей. Например, если кто-то пытается зарегистрироваться через Tor или VPN, или с нестандартного, одноразового почтового адреса. Впрочем, это совсем не оправдание для подобной практики: «Выбрав такую дорогу, вы практически осуществляете фишинг паролей, которые вы не должны знать!» — пишет пользователь твиттера e-sushi, который первым обратил внимание на некорректные действия Facebook.
Hey @facebook, demanding the secret password of the personal email accounts of your users for verification, or any other kind of use, is a HORRIBLE idea from an #infosec point of view. By going down that road, you’re practically fishing for passwords you are not supposed to know! pic.twitter.com/XL2JFk122l
— e-sushi (@originalesushi) March 31, 2019
В поле ввода пароля есть ссылка на более подробную информацию, где Facebook обещает не сохранять пароли пользователя. Но учитывая отношение компании к безопасности пользователей, сложно доверять этому утверждению на 100%. В прошлом году компанию словили на том, что она позволяла рекламодателям производить таргетинг пользователей по телефонным номерам, которые люди вводили для двухфакторной аутентификации. А недавно выяснилось, что эти телефонные номера вообще были открыты для общедоступного поиска.
Как обычно, после поднявшегося скандала компания извинилась и пообещала прекратить такую практику.
В прошлом месяце, на фоне постоянных скандалов вокруг приватности пользователей, Марк Цукерберг выпустил большой манифест, который описывает описывающий новое «видение конфиденциальности», пообещав повсеместно использовать сильное шифрование и передовых инструментов безопасности. Однако с тех пор мало что изменилось. Даже сам Цукерберг признал, что за компанией сложилась неоднозначная репутация: «Честно говоря, в настоящее время у нас нет сильной репутации для создания служб защиты конфиденциальности», — написал он.
В подтверждение этой репутации на днях стало известно о ещё двух утечках конфиденциальных данных пользователей Facebook, которые обнаружены в свободном доступе на облачном хостинге Amazon S3.
Во-первых, это база на 146 гигабайт, которая содержит более 540 миллионов записей с пользовательскими комментариями, лайками, реакциями, с привязкой к каждому аккаунту. Источником называют компанию Cultura Colectiva.
Кроме того, в облаке Amazon S3 обнаружен бэкап от интегрированного в социальную сеть приложения At the Pool. База содержит следующие поля: fk_user_id, fb_user, fb_friends, fb_likes, fb_music, fb_movies, fb_books, fb_photos, fb_events, fb_groups, fb+checkins, fb_interests, password. Судя по всему, в поле password хранятся пароли пользователей к самому приложению At the Pool, а не к социальной сети, но многие пользователи используют одинаковые пароли (или их модификации) на разных сайтах.
Отредактированная версия скриншота с базой At the Pool (увеличенная версия картинки открывается по нажатию)
Хотя база At the Pool не такая большая, как Cultura Colectiva, но содержит 22 000 паролей в текстовом виде. Кстати, сама компания-разработчик At the Pool прекратила работу в 2014 году (последняя архивная копия их сайта без редиректа датирована 17 мая 2014 года). Сейчас сайт материнской компании возвращает сообщение об ошибке 404. Но это небольшое утешение для конечных пользователей, чьи имена, пароли, адреса электронной почты, идентификаторы Facebook и другие детали лежали в открытом доступе на S3 в течение неизвестного периода времени.
Данные в открытом наборе данных Cultura Colectiva
Обе базы содержат данные о пользователях Facebook с описанием их интересов, отношений и взаимодействия, которые были доступны сторонним разработчикам. После многочисленных скандалов с утечками данных чрез сторонние приложения Facebook предпринял усилия, чтобы ограничить их доступ. Но, как показывают эти утечки, джинна трудно загнать обратно в бутылку. Данные о пользователях разошлись далеко за пределами сферы, которую Facebook способен сегодня контролировать.
Отредактированный скриншот из базы Cultura Colectiva
Утечку Cultura Colectiva первыми обнаружили специалисты группы UpGuard Cyber Risk (компания UpGuard). Они говорят, что уведомили Amazon Web Services о ситуации 28 января. На следующий день AWS прислала ответ, что владелец бакета с базой уведомлён о том, что его данные открыты для всеобщего доступа. Прошло три недели, но ситуация не изменилась. 21 февраля UpGuard снова отправила письмо в Amazon Web Services. Та снова ответила в тот же день, заявив, что они изучат дальнейшие потенциальные способы справиться с ситуацией.
И только утром 3 апреля 2019 года, когда журналист Bloomberg связался с Facebook для комментариев по поводу этой ситуации, резервную копию базы данных в бакете S3 под названием «cc-datalake», наконец-то, убрали из открытого доступа.
Эти две ситуации говорят о неотъемлемой проблеме массового сбора информации: данные никуда не исчезают сами по себе. О старом архиве или резервной копии могут забыть или просто не обращать на неё внимания. Хотя это данные сторонних разработчиков, но они не существовали бы без Facebook, и они уже не находятся под контролем Facebook. В каждом случае платформа облегчала сбор данных о физических лицах и их передачу третьим лицам, которые отвечали за безопасность.
Таким образом, поверхность защиты данных пользователей Facebook огромна и неоднородна, а ответственность за её защиту лежит на миллионах разработчиков приложений на этой платформе.
Другими словами, всё что вы делаете или сохраняете на Facebook, рано или поздно окажется в открытом доступе и/или будет использовано против вас. Впрочем, это относится ко всем социальным сетям.