February 2026

S M T W T F S
1234567
891011121314
15161718192021
22232425262728

Navigation

Page Summary

Style Credit

Expand Cut Tags

No cut tags

работали на дизеле

stas: (Default)
[personal profile] stas
Thursday, March 21st, 2019 11:38 am
Facebook acknowledged a bug in its password management systems that caused hundreds of millions of user passwords for Facebook, Facebook Lite, and Instagram to be stored as plaintext in an internal platform.

Ах ты ж...В 2019 году, и не где-нибудь в зажопинской конторе по ремонту глушителей, а в конторе, где специалистов по безопасности буквально тыщи. И в результате всё равно - энциклопудия. 

The Facebook source said the investigation so far indicates between 200 million and 600 million Facebook users may have had their account passwords stored in plain text and searchable by more than 20,000 Facebook employees.

 Д. Б.
Tags:
Flat | Top-Level Comments Only

juan_gandhi: (Default)
[personal profile] juan_gandhi
Thursday, March 21st, 2019 09:03 pm (UTC)
Такая тут культура.

Эх, вот статьи нету на этих людей. А жаль!

stas: (Default)
[personal profile] stas
Thursday, March 21st, 2019 09:07 pm (UTC)
Ну ладно они сделали какую-то фигню, которая собирает логины. Ладно, стали их хранить открытым текстом, потому что ненуачё. Но они могли хотя бы сделать к ней ограниченный доступ, только для тех, кому эта фигня нужна, не "все работники, включая уборщиков и барристу в кафетерии"??? Это ж первый класс, первая четверть. Пиздец какой-то.

juan_gandhi: (Default)
[personal profile] juan_gandhi
Thursday, March 21st, 2019 09:19 pm (UTC)
Действительно. У нас в конторе сейчас хрен чего допросишься. Пока я искал, где же наши тестовые логи...

С другой стороны, две конторы назад мне тоже логи никак не давали посмотреть (а там якобы баги); но при этом наши смежники из Индии успешно замержили новый ценный эйпиай: "дай мне SSN по user id number".

Ну и пасворды хранились в плейнтексте. Да не наши пасворды (наши секретны), а пасворды пациентов в страховую компанию. Да бля... до сих пор саднит.

proben: (Default)
[personal profile] proben
Friday, March 22nd, 2019 04:16 am (UTC)
Ту же фигню видел в области медстраховки. По телефону типа скажите последние четыре цифры, а оператору доступен полный ссн, все твои адреса, др и прочая инфа. А операторов море на ставке 15 долл в час или вроде того.

stas: (Default)
[personal profile] stas
Friday, March 22nd, 2019 05:06 am (UTC)
дай мне SSN по user id number".

Так был же недавно скандал, что одно из кредитных агентств забацало такой API и несколько месяцев сливало данные какому-то вьетнамцу, который ими просто торговал на чёрном рынке. Кребс об этом писал.

[personal profile] qvb
Friday, March 22nd, 2019 02:11 am (UTC)
Многие говорят что в ФБ дев культура - хуцпа. Народ понял что достаточно просто сказать "сорри, баг" когда что-то нехорошее всплывает и все, так что делать можно вообще все что угодно.

stas: (Default)
[personal profile] stas
Friday, March 22nd, 2019 05:02 am (UTC)
Ну я примерно в курсе, что там культура "move fast, break things", а вещи типа QA считаются плохим словом. Но в области хранения паролей хотя бы можно было бы подумать... Ладо ещё другие персональные данные юзеров, сам вписал в пейсбук, сам виноват. Но про пароли уже даже первоклассники знают, что их надо беречь.

[personal profile] qvb
Friday, March 22nd, 2019 01:30 pm (UTC)
>>>Но в области хранения паролей хотя бы можно было бы подумать...

Они думают. Но не о безопасности паролей, а о том что лучше потратить время на новую фичу, т.к. за это погладять по головке и дадут вкусный бонус. А если тратить время на вдумчивый дизайн и имплементацию секьюрити - то будет не бонус а совсем наоборот.

Тем более что секьюрити - это ведь такая штука, если ей заниматься вдумчиво и систематично то очень большой процент усилий в проекте будет уходить на это дело. Так что для "move fast, break things" лучше секьюрити и не вспоминать, а то культурный диссонанс будет :-)

alpinebear: (Default)
[personal profile] alpinebear
Thursday, March 21st, 2019 09:07 pm (UTC)
Я раньше удивлялся такому, но чем дальше тем меньше. Не удивлюсь если к этим открытым паролям и извне компании доступ был

vlad_m: (Default)
[personal profile] vlad_m
Thursday, March 21st, 2019 11:33 pm (UTC)
Такое только поток недешевых исков вылечит.

Хотя, они могут добавить в пользовательское соглашение пункт "а если мы профейсбучим ваши пароли, то итс окей". Ретроактивно.

[personal profile] arifg
Friday, March 22nd, 2019 11:03 pm (UTC)
Беда в том, что ФБ используется как авторизатор на куче сайтов и аппов в телефоне.

signamax: (Default)
[personal profile] signamax
Thursday, March 21st, 2019 11:56 pm (UTC)
Есть ли альтернатива фб?

stas: (Default)
[personal profile] stas
Friday, March 22nd, 2019 05:02 am (UTC)
Смотря для какой цели :)

brevi: (Default)
[personal profile] brevi
Friday, March 22nd, 2019 08:59 pm (UTC)
Альтернатива фейсбуку — ходить к друзьям в гости, в крайнем случае разговаривать с ними по телефону.

signamax: (Default)
[personal profile] signamax
Friday, March 22nd, 2019 09:01 pm (UTC)
Good point

yarpenzigrin: main (Default)
[personal profile] yarpenzigrin
Saturday, March 23rd, 2019 07:20 am (UTC)
Скайп есть, и аналоги. Видеосвязь.

Интересный нюанс

beobahter: (Default)
[personal profile] beobahter
Saturday, March 23rd, 2019 07:20 am (UTC)
Есть огромное количество сайтов, куда можно зайти на персональный аккаунт через фейсбуковский логин.

То есть, работники Фейсбука могут тешить свое любопытство личной информацией, которая хранится не на Фейсбуке. И вот если обнаружатся ТАКИЕ случаи, Фейсбук может попасть под криминальное расследование

yarpenzigrin: main (Default)
[personal profile] yarpenzigrin
Saturday, March 23rd, 2019 07:24 am (UTC)
В те времена, когда проблемы диверсити, культурной аппроприации и языка ненависти овладели массами, защищённое хранение паролей только отвлекает от борьбы.
Flat | Top-Level Comments Only