image

Facebook bewaarde wachtwoorden miljoenen gebruikers in plaintext

donderdag 21 maart 2019, 17:23 door Redactie, 23 reacties

Facebook heeft door een fout jarenlang de wachtwoorden van honderden miljoenen gebruikers in plaintext opgeslagen. Dat heeft de sociale netwerksite vandaag bekendgemaakt. Normaliter maakt Facebook gebruik van hashing en salting om wachtwoorden beveiligd op slaan.

In het geval een aanvaller of derde partij toegang tot de database van Facebook krijgt, is het wachtwoord niet meteen leesbaar. Bij mogelijk 200 miljoen tot 600 miljoen gebruikers was dat niet het geval, zo laat it-journalist Brian Krebs vandaag weten. Hoe lang de wachtwoorden in plaintext waren opgeslagen wordt nog onderzocht, maar een bron meldt dat het in ieder geval teruggaat tot 2012. Het probleem werd afgelopen januari ontdekt bij de controle van nieuwe code. Toen bleek dat wachtwoorden per ongeluk in plaintext werden gelogd.

In een verklaring op de eigen website meldt Facebook dat het geen aanwijzingen heeft gevonden dat medewerkers misbruik van de wachtwoorden hebben gemaakt of die op 'onjuiste wijze' hebben benaderd. Hoeveel gebruikers slachtoffer zijn geworden laat Facebook niet weten, maar het schat dat het "honderden miljoenen" gebruikers van Facebook Lite, tientallen miljoenen andere Facebookgebruikers en tienduizenden gebruikers van Instagram zal waarschuwen. Facebook zal de wachtwoorden van getroffen gebruikers niet resetten.

Reacties (23)
21-03-2019, 17:37 door Anoniem
Mischien beter Facebook hernoemen naar Facepalm.
21-03-2019, 17:39 door Anoniem
Lekker belangrijk.
Alles is toch openbaar. In elk geval voor veesboek zelf. Wel onhandig dat ze hun gebruikers tot hun eigen concurrenten maken :)
21-03-2019, 18:13 door Anoniem
Ach deze mensen hebben hun privacy toch al niet zo hoog in het vaandel staan.
21-03-2019, 19:25 door Anoniem
Waarom krijgen ze niet een even fijn boetetje als Google.

Zelfregulering bleek toch keer op keer niet te lukken.

Wil EU weer de kool en de geit sparen, geen link-tax voor de grote jongens,
wel filters voor onze uploads.

En dat is niet eerlijk, zei het piepkuiken, Calimero.

luntrus
21-03-2019, 19:25 door Anoniem
Dat kwam de datagraaiers verdomd goed uit; data verzamelen door in te loggen op andere websites (aangezien het gros overal hetzelfde wachtwoord gebruikt). Maar het gros heeft naar eigen zeggen toch niets te verbergen, dus lekker boeiend.
En de datagraaiers komen er weer heel makkelijk mee weg door er een etiketje "fout" op te plakken.
21-03-2019, 19:34 door Anoniem
Door Anoniem: Lekker belangrijk.
Alles is toch openbaar. In elk geval voor veesboek zelf. Wel onhandig dat ze hun gebruikers tot hun eigen concurrenten maken :)
Heb nooit of nooit enig account aangemaakt bij dat f-vb, die leken toch sowieso en de-facto, later bewezen, onbetrouwbaar van in het 'prille begin' (±2006). Maar 'Jeugd van nu' vond het 'great'!
https://nl.wikipedia.org/wiki/Doe_Maar!_(musical)
21-03-2019, 19:58 door Anoniem
@17:39 en 18:13 Wat doen jullie nu om dat schaduwprofiel bij Facebook van jou (inclusief minimaal volledige naam en telefoonnummer) niet verder te voorzien van persoonlijke informatie?
21-03-2019, 20:04 door Anoniem
Door Anoniem: Ach deze mensen hebben hun privacy toch al niet zo hoog in het vaandel staan.

Wat is dat voor 'n sullige opmerking??
je zegt toch ook niet, bedrijven ga maar massaal de wet overtreden?
je zegt toch ook niet, ikzelf en anderen die ik ken vinden onze privacy niet belangrijk en daarom wil ik graag bij andere mensen een extra kamera permanent op mijn bed, huiskamer en voordeur?
Zo is privacy niet bedoeld.
Privacy gaat gewoon over MINIMUM grenzen die anderen NIET bij de ander mogen doorbreken.
21-03-2019, 21:13 door Anoniem
Wat moet er dan allemaal nog gebeuren, totdat men zal besluiten de stekker uit Facebook te laten halen.

Als dat gebeurt, zou het ook een goede leer zijn voor de andere grotere Tech-bedrijven
om zich aan enige maatschappelijke regels te gaan houden en transparant te zijn,
en niet slechts alleen maar krokodillentranen achteraf van een draaideur-data-slurper.

Ik denk dat het aantal, die profiteert of collaboreert met Facebook groot genoeg is om dit voorlopig niet te laten gebeuren.
Zo realistisch ben ik ook wel, maar ik hoop dat een heleboel gebruikersogen geopend zijn.

Aan de andere kant weet ik ook niet wat er staat te gebeuren, als Facebook
en consorten ongebreideld hun macht mogen uitbouwen. Worden we dan AI gedrevenen?

Wilt u de volledige controle over uw digitale data totaal uit handen geven?

Ik denk, u aarzelt nog, ik zie het, ik voel het. Dat kan toch niet, stamelt u.
U wilt het nog niet geloven. U zegt nog vertwijfeld, zo erg kan het toch niet zijn.
Toch bent u inmiddels al flink aan het twijfelen gebracht.

U wil er niet aan denken, dat al uw aannames van het betrouwbare Facebook imperium tot nu toe nergens op berusten.
U heeft ze nog vertrouwd en hoopte nog dat ze ondanks alles nog te vertrouwen zijn.
U valt nog voor het verhaal van de anderen, die ze verdedigen,
maar de praktijk wijst helaas steeds weer opnieuw met elk incident anders uit.

Kunt een data-slang aan uw boezem koesteren?
Moet u deze na drie keer dwingend vragen, uiteindelijk niet de deur wijzen?
Vragen om weg te gaan van uww computer, uw device, uw servers, uw providers, weg uit uw cloud.

Ik weet het, het is geen rode wouw, maar toch.
Laten we ervan leren.

#sockpuppet
21-03-2019, 21:43 door Anoniem
Facebook, een groot bedrijf, die pas 7 jaar ontdekt dat zijn wachtwoorden in plain text opslaan.
En nu komt de vraag die nog niemand heeft gesteld, maar alsnog wel het antwoord weet:
HOE KAN DAT NU?!?!?
Antwoord: facebook is nooit gericht op security en privacy. Het enige wat op facebook gebeurt is zoveel mogelijk jullie data aftappen om er veel geld mee te kunnen verdienen die gaan dan zal in de zakken in van mark. Elke minuut is goud waard, hoe meer m'n spendeerd op iets dat nog niet noodzakelijk is (volgens mark), hoe minder centjes markje verdient.
21-03-2019, 21:48 door Anoniem
Privacy gaat gewoon over MINIMUM grenzen die anderen NIET bij de ander mogen doorbreken.
Wil je weten wat men onder privacy verstaat zie link hier onder.
https://mens-en-samenleving.infonu.nl/sociaal/59388-privacy-wat-betekent-het-en-hoe-wordt-het-verstoord.html
Of
https://www.das.nl/juridische-informatie/alles-over-het-recht-in-nederland/privacy/wat-is-het-recht-op-privacy
Of
https://www.omgevingspsycholoog.nl/privacy

Data van iemand verhandelen zoals FB doet is toch iets anders dan privacy, zij hebben gewoon het recht niet om je
gegevens te verkopen zonder je toestemming.
21-03-2019, 23:25 door Anoniem
@ anoniem van 21:48

"Ze hebben gewoon het recht niet om je gegevens te verkopen zonder je toestemming", zeg je.

Juist maar daar gaat het niet om. Anderen in "jouw" omgeving (kontakten) hebben wel toestemming gegeven,
want ze hebben jouw identiteit (naam, telefoonummer) al aan FB doorgegeven ter profilering.
En nu, ben jij ook de pineut. Zo werkt het.

Jij krijgt dus de gepersonaliseerde advertenties door je strot, vooral op android.
Blokkeren die handel, tonido cloud server installeren en je eigen cloud beheren!
Je moet het wel zelf doen, want Google en Facebook doen dit "never nooit niet" voor jou.

Net als bij scammers en spammers, is je mail adres bekend, krijg je ongewild spam,
want je adresgegevens worden online gedeeld. Jij moet blokkeren, jij moet je junk folder legen,
jij moet niet op dreigmails ingaan.

Niemand helpt je erbij, geen zin, geen capaciteit, geen expertise in huis enz. enz.
Want ....ze willen het niet anders.

De grote profiteurs blijven buiten beeld en verdienen bakken en bakken met geld en lobbyen
en de waakhonden staan onder druk.

CEO's met een miljoen dollar inkomen per maand hebben het voor het zeggen
Een security analist met relevante kennis schuiven ze opzij, een lastig insect bij het graaien.
Wegmeppen dat soort figuren, burgerrestaurantloontje geven van 100 euro per job.
Respectloos behandelen net als de klandizie.

Veel van dit soort lieden zijn heersers over een psychopatisch rijk,
dat we met een mooi woord Big Tech Corporation noemen.

Verschil een spammer kan als ie bekend is gestraft worden,
FB wil men niet straffen, want er zijn te veel handlangers, die FB uit de wind willen houden,
1. handig voor de surveillance staten (data),
2. handig voor data-analyse,
3. handig voor verkiezingsbeinvloeding (Cambridge Analytica),
4. handig voor weghouden ongewenst gedeelde info (fact checkers en bestempelen tot fake news).

Het helpt macht handhaven, dus het is zeer nodig volgens de elite.

In de wereld zo die in elkaar steekt, geef ik je weinig kans om FB te stoppen of zelfs maar te reguleren.
Of de aandeelhouders moeten dat willen. Of het systeem moet op z'n kop, maar dat is niet plausibel.

Ga er dan maar eens iets aan doen. Het heet 3rd part tracking en je overheid doet het ook,
via een markteteer of statisteieken verwerkend bureau via de cloud van Amazon bijvoorbeeld aan mee.
Ja echt je privacy is non-existent.
Ze vertellen je het echter niet en dat zwijgen komt nog met een uitgestreken facie.

Moeten ze daarmee stoppen, dan moet je overal nog meer voor gaan betalen,
want dan is het gratis uit te melken produkt bij deze waterhandel gevlogen
en houdt free as in free beer op.

Gratis, daar gaat de zon voor op en soms geeneens niet, als de graaiers in staat waren er een gordijntje voor te hangen. Corporatism is the name of the game en als staten dat doen,
dan heet het corporationeel fascisme. Denk aan Mussolini, die had ook zo'n staat gesticht.
Gaat EU ook die kant op?

Na de komst van de stadsstaten, na het ontstaan van Sumer, gebeurt dit al.
Machthebbers en data-slaven, zo oud als de mensheid.
Heel Rome leefde van de slavernij en toen de klad er in kwam,
was het na 250 jaar bekeken en kwam de neergang van het Imperium.
Oh, USA, bestaat dat ook al niet zo'n 250 jaar?

Doei,

#sockpuppet
22-03-2019, 08:57 door Anoniem
Hier kan geen goed excuus voor zijn,.
Keiharde boetes uitdelen.
22-03-2019, 08:58 door Anoniem
Toen bleek dat wachtwoorden per ongeluk in plaintext werden gelogd.

En geen enkele bezoeker vraagt zich af waarom je wachtwoorden logt?

Alleen als je als "dienst" levert dat je op vragen over inlogproblemen kunt melden of hij met het juiste wachtwoord inlogt. Ik geloof nooit dat Facebook die dienst heeft geleverd.

Peter
22-03-2019, 09:00 door Anoniem
"dat het geen aanwijzingen heeft gevonden dat"
Ofwel
We hebben geen idee
Ofwel
We doen dit al jaren, maar in de laatste maanden logs zien we niets geks
Of
We loggen wel wat, maar lang niet alles en een deel van de mensen die bij de wachtwoorden kunnen, kunnen ook logs muteren
Of....

Die omgekeerde verantwoording zien we tegenwoordig overal.
22-03-2019, 09:21 door Anoniem
Door Anoniem: Lekker belangrijk.
Alles is toch openbaar. In elk geval voor veesboek zelf. Wel onhandig dat ze hun gebruikers tot hun eigen concurrenten maken :)
Idd lekker belangrijk, voor iedereen die FB als identificatie/authenticatiedienst gebruikt voor andere diensten.
22-03-2019, 09:30 door Anoniem
Door Anoniem: @ anoniem van 21:48

1........................."Ze hebben gewoon het recht niet om je gegevens te verkopen zonder je toestemming", zeg je.

2..........................Juist maar daar gaat het niet om.
Anderen in "jouw" omgeving (kontakten) hebben wel toestemming gegeven,
want ze hebben jouw identiteit (naam, telefoonummer) al aan FB doorgegeven ter profilering.
En nu, ben jij ook de pineut. Zo werkt het.

3...........................Jij krijgt dus de gepersonaliseerde advertenties door je strot, vooral op android.


4.........................Corporatism is the name of the game .......


#sockpuppet


1. Dat is dus doorbreken van de privacy hetgeen in strijd is met de wet

2. Juist, daar gaat het ook om.
Het gaat er juist om dat daarom het handelen in andermans gegevens inbreuk op andermans privacy is.
Dat dat niet zo werkt, maar facebook wel zo te werk gaat, is het probleem van de "meerwaarde" die facebook expliciet verkoopt onder het argument "targeted ads".
En dat doet facebook gepaard met zelf zo passief mogelijke opstelling qua zorg die ze per advertentie kunnen besteden en advertentie- en API-licentie afnemers zoveel als denkbaar vrij spel te geven.

3. juist, en dat gepersonaliseerde vertoont nogal wat hiaten. Je kan verder nogal wat instellingen aanpassen in android om de mate van personalisering in ieder geval te minimaliseren. Dan geef je voor de langere termijn ook een commercieel signaal af van "hee, stop een beetje met die bombardementen".

4. dat is niet het fundamentele probleem, dat is centralisering en verdringing door schaalgrootte. Dat is overigens een doelbewust recept om meer van hetzelfde proberen in te gaan voeren.
22-03-2019, 10:12 door SPer
Door Anoniem: Facebook, een groot bedrijf, die pas 7 jaar ontdekt dat zijn wachtwoorden in plain text opslaan.
En nu komt de vraag die nog niemand heeft gesteld, maar alsnog wel het antwoord weet:
HOE KAN DAT NU?!?!?
Antwoord: facebook is nooit gericht op security en privacy. Het enige wat op facebook gebeurt is zoveel mogelijk jullie data aftappen om er veel geld mee te kunnen verdienen die gaan dan zal in de zakken in van mark. Elke minuut is goud waard, hoe meer m'n spendeerd op iets dat nog niet noodzakelijk is (volgens mark), hoe minder centjes markje verdient.
Het is natuurlijk een blunder van jewelste om passworden ungehashed op te slaan.
Het grote gevaar zit natuurlijk in het verkrijgen van toegang op de userdatabase.
Dat wordt niet groter bij hashed passwords . In ieder geval is het mogelijk in een vrij hoog tempo passworden te krijgen als je eenmaal toegang hebt op deze database.
Dus het in plaintext opslaan van pw is wel behoorlijk 'stom' maar het maakt de boel slechts iets onveiliger (lees het kost meer tijd om het beheer over een account te verkrijgen) .
22-03-2019, 10:16 door SPer
Beste #sockpuppet, is het misschien een idee om een gelijknamig account aan te maken , dat scheelt met verwijzingen zoals anoniem @17.15 ed.
22-03-2019, 10:26 door roevka
Facebook de plek waar m'n 76 jarige moeder al meer dan 3 jaar lastig gevallen wordt door Ghanese scammers. Kotsmisselijk word ik van dat data graaiende platform.
22-03-2019, 11:15 door Anoniem
Wat verwacht je van iemand die een bedrijf opricht en zijn gebruikers "Dumb fucks" noemt.

https://www.zerohedge.com/news/2018-03-25/dumb-f-ks-julian-assange-reminds-us-what-mark-zuckerberg-thinks-facebook-users
23-03-2019, 16:24 door karma4
Door Anoniem: ...
2. Juist, daar gaat het ook om.
Het gaat er juist om dat daarom het handelen in andermans gegevens inbreuk op andermans privacy is.
Dat dat niet zo werkt, maar facebook wel zo te werk gaat, is het probleem van de "meerwaarde" die facebook expliciet verkoopt onder het argument "targeted ads".
En dat doet facebook gepaard met zelf zo passief mogelijke opstelling qua zorg die ze per advertentie kunnen besteden en advertentie- en API-licentie afnemers zoveel als denkbaar vrij spel te geven
....
Nou nee, je zit er naast. Je zit er naast omdat:
1- Je een eigen invulling hebt gegeven wat je onder privacy verstaat. Die invulling is niet onderbouwd.
2- je doet de aanname dat alles wat niet expliciet toegestaan is, daardoor verboden is.

Onder ad 1/ zou je een eerst een hele discussie en vastlegging moeten voeren wat je er onder verstaat.
Het officiële GDPR document bestaat voor ca de helft alleen uit het zo goed mogelijk bepalen van de definities. Dan hebben ze het nog niet voor elkaar dat iedereen het op dezelfde manier uitlegt.

Met /2 heb je de insteek "bij voorbaat schuldig verklaard", dan moet je niet moeilijk gaan doen als je ook zo behandeld wordt. De amerikaanse insteek is dat als het niet expliciet verboden is je dan wel je gang kan gaan. Voor het gerecht iets regelen kan altijd nog wel. De europese insteek is dat men voorzichtig is als het niet heel helder is.
Uitgezonderd natuurlijk bepaalde groepen die zich toch al weinig van regelgeving aantrekken.
25-03-2019, 10:43 door hanspaint
Dus voor elke account een uniek password dan hou je de schade beperkt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.