Bendrovė „Meta“ saugumo spragą pripažino 2019 m. pradžioje. Bendrovė teigė, kad programėlės, skirtos prisijungti prie įvairių „Meta“ priklausančių socialinių tinklų, įrašinėjo vartotojų slaptažodžius atviru tekstu ir saugojo juos duomenų bazėje, kurioje paiešką galėjo atlikti maždaug 2000 bendrovės inžinierių, kurie bendrai šioje duomenų bazėje atliko 9 milijonus užklausų.
„Meta“ tyrimą vykdė penkerius metus.
Tuo metu „Meta“ pareigūnai teigė, kad klaida buvo aptikta atliekant įprastą bendrovės vidaus tinklo duomenų saugojimo praktikos saugumo peržiūrą. Jie teigė, kad neaptiko jokių įrodymų, jog kas nors viduje būtų netinkamai pasinaudojęs slaptažodžiais arba kad slaptažodžiai kada nors būtų buvę prieinami kam nors už įmonės ribų.
Nepaisant šių patikinimų, atskleidus informaciją paaiškėjo, kad „Meta“ padarė didelę saugumo klaidą. Jau daugiau nei tris dešimtmečius beveik visose pramonės šakose geriausia praktika yra slaptažodžių saugojimas juos kriptografiškai užšifruojant. Hashing – tai terminas, taikomas slaptažodžių perdavimui per vienakryptį kriptografinį algoritmą, kuris priskiria ilgą simbolių eilutę, unikalią kiekvienam unikaliam atviro teksto įrašui.
Kadangi konvertavimas vyksta tik viena kryptimi – iš paprasto teksto į hash – nėra kriptografinių priemonių, kuriomis būtų galima konvertuoti užšifruotus slaptažodžius atgal į paprastą tekstą. Pastaruoju metu ši geroji praktika buvo privaloma pagal pasaulio šalių įstatymus ir reglamentus.
Kadangi šifravimo algoritmai veikia viena kryptimi, vienintelis būdas gauti atitinkamą atvirą tekstą yra atspėti, o šiam procesui gali prireikti daug laiko ir skaičiavimo išteklių. Slaptažodžių šifravimo idėja yra panaši į būsto draudimo nuo gaisro idėją. Ištikus nelaimei – vienu atveju įsilaužus į slaptažodžių duomenų bazę, o kitu – kilus namo gaisrui – apsauga apsaugo suinteresuotąją šalį nuo žalos, kuri kitu atveju būtų buvusi dar baisesnė.
Kad šifravimo schemos veiktų taip, kaip numatyta, jos turi atitikti daugybę reikalavimų. Vienas iš jų yra tas, kad šifravimo algoritmai turi būti suprojektuoti taip, kad jiems reikėtų didelių skaičiavimo išteklių. Dėl to tokie algoritmai, kaip SHA1 ir MD5, yra netinkami, nes jie sukurti taip, kad būtų galima greitai sutapatinti pranešimus su minimaliomis skaičiavimo sąnaudomis. Priešingai – algoritmai, sukurti specialiai slaptažodžių šifravimui, (pavyzdžiui, Bcrypt, PBKDF2 arba SHA512crypt), yra lėti ir naudoja daug atminties bei apdorojimo procesų.
Kitas reikalavimas – algoritmai turi apimti kriptografinį „padruskinimą“ (angl. salting), kai į atviro teksto slaptažodį prieš jį šifruojant pridedama šiek tiek papildomų simbolių. „Padruskinimas“ dar labiau padidina darbo krūvį, kurio reikia norint „nulaužti“ slaptažodį. „Nulaužimas“ (angl. cracking) – tai procesas, kai per algoritmą perduodamas didelis skaičius spėjimų, dažnai skaičiuojamas šimtais milijonų, ir kiekvienas spėjimas lyginamas su rastu pažeistoje duomenų bazėje.
Svarbiausias šifravimo tikslas – slaptažodžius saugoti tik šifruotu formatu ir niekada kaip atvirą tekstą. Tai užkerta kelią įsilaužėliams ir piktavaliams vidiniams naudotojams pasinaudoti duomenimis, prieš tai neišnaudojus didelių išteklių.
Kai 2019 m. „Meta“ atskleidė šią spragą, tapo aišku, kad bendrovė nesugebėjo tinkamai apsaugoti šimtų milijonų slaptažodžių.
„Visuotinai pripažįstama, kad vartotojų slaptažodžiai neturėtų būti saugomi atviru tekstu, atsižvelgiant į piktnaudžiavimo riziką, kylančią dėl asmenų prieigos prie tokių duomenų, – sakė Airijos duomenų apsaugos komisijos komisaro pavaduotojas Grahamas Doyle'as. – Reikia nepamiršti, kad slaptažodžiai, apie kuriuos kalbama šioje byloje, yra ypač jautrūs, nes jie leistų prisijungti prie vartotojų socialinės žiniasklaidos paskyrų.“
Komisija tiria šį incidentą nuo tada, kai daugiau nei prieš penkerius metus apie jį pranešė pati „Meta“. Šią savaitę vyriausybinė institucija, kuri yra pagrindinė Europos Sąjungos reguliavimo institucija daugumai JAV interneto paslaugų, skyrė 101 mln. dolerių (91 mln. eurų) baudą. Iki šiol už 2018 m. įsigaliojusio Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimus ES skyrė „Meta“ daugiau kaip 2,23 mlrd. dolerių (2 mlrd. eurų) baudų. Į šią sumą įskaičiuota rekordinė praėjusių metų 1,34 mlrd. dolerių (1,2 mlrd. eurų) bauda, kurią „Meta“ apskundė.
Parengta pagal „Ars Technica“.
