Obrovské selhání zabezpečení

Tato událost, která byla poprvé odhalena v roce 2019, představuje jeden z největších bezpečnostních lapsů společnosti Meta. Zmíněné heslové údaje byly volně přístupné pro interní zaměstnance firmy, přičemž podle vyšetřování více než 2000 inženýrů provedlo přes 9 milionů dotazů na databázi, která tato hesla obsahovala. I když firma tvrdí, že nemá důkazy o zneužití dat či neoprávněném přístupu k nim ze strany zaměstnanců, problém ukazuje na systémové nedostatky v oblasti zabezpečení.

Proč je hashování hesel standardem?

Moderní standardy pro ukládání hesel jsou jasné – všechna hesla by měla být uložena v kryptograficky zahashovaném formátu. To znamená, že heslo je při zadání prohnáno jednosměrným algoritmem, který vytvoří unikátní řetězec znaků, ale není možné jej zpětně rozšifrovat na původní heslo. Tento postup slouží k ochraně uživatelských údajů i v případě, že by došlo k napadení databáze.

V případě Mety ovšem hesla nebyla hashována, což znamená, že kdokoli s přístupem k databázi měl snadný přístup k plnému znění hesel. To je mimořádně problematické, zejména proto, že přihlašovací údaje k sociálním sítím, jakými jsou Facebook, Instagram nebo WhatsApp, umožňují přístup k obrovskému množství osobních informací uživatelů.

Jak funguje zabezpečení hesel?

Hashování hesel, aby bylo účinné, vyžaduje několik kroků. Kromě samotného použití složitých algoritmů, jako je Bcrypt, PBKDF2 nebo SHA512crypt, je potřeba implementovat tzv. „salting“. To znamená, že ke každému heslu je před zahashováním přidán náhodný řetězec znaků, aby bylo pro útočníky ještě složitější prolomit zabezpečení. Bez těchto technik mohou být jednoduché a rychlé hashovací algoritmy, jako SHA1 nebo MD5, snadno prolomeny moderními metodami útoku.

Zdroj: Shutterstock

Hashování chrání uživatelská data tak, že i pokud je databáze kompromitována, útočníci potřebují obrovské výpočetní prostředky k tomu, aby rozšifrovali jednotlivá hesla. Pro Meta však tento princip neplatil, jelikož hesla byla v prostém textu, což znamená, že je zaměstnanci mohli snadno přečíst a teoreticky zneužít.

Pokuta a širší důsledky

Případ Mety je dalším z mnoha příkladů, kdy velká technologická firma nedodržela zásady ochrany osobních údajů. Regulace, jako je evropské nařízení GDPR, mají za úkol chránit osobní data občanů a přísně sankcionovat firmy, které tato pravidla poruší. Meta za porušování GDPR obdržela od jeho zavedení v roce 2018 už více než 2,23 miliardy dolarů na pokutách. Největší pokuta, kterou firma dostala, byla ve výši 1,34 miliardy dolarů, přičemž Meta se proti tomuto rozhodnutí odvolala.

Podle Grahama Doyla, zástupce irského Úřadu pro ochranu osobních údajů, je nepřijatelné, aby jakákoli firma ukládala uživatelská hesla v plaintextu. Hesla patří mezi nejcitlivější osobní údaje, protože jejich odcizení může mít dalekosáhlé důsledky, od krádeže identity až po neoprávněný přístup k soukromým a finančním informacím.