Aktuální bezpečnostní problém Facebooku – komentář bezpečnostních expertů

aktuální kauze bezpečnostního problému provozovatele sociální sítě Facebook, který si několik let ukládal přístupová hesla svých uživatelů v nezašifrované podobě, si Vám dovoluji k redakčnímu využití nabídnout komentář senior bezpečnostního poradce společnosti Sophos Johna Shiera. John se vyjadřuje k tomu, jak je aktuální kauza spojena se všemi dalšími zprávami o Facebooku:
„Oproti všem nedávným incidentům, kdy Facebook musel čelit veřejné kritice za přístup k ochraně uživatelských účtů, je tato kauza odlišná. Autentifikační data jsou něčím, co bere Facebook velmi vážně, přičemž zavedl řadu mechanismů, externích i interních, která mají zajistit, že uživatelská oprávnění budou ochráněna. A přestože detaily aktuálního incidentu se teprve vyjasňují, jedná se v tomto případě pravděpodobně o náhodnou chybu v programování, která vedla k ukládání čistých (plaintextových) hesel. Což znamená, že se to nemělo nikdy stát a Facebook musí zajistit, že v důsledku této chyby nebudou ohrožena žádná uživatelská hesla ani data. Je to také další upozornění pro uživatele, kteří opakovaně používají stejná nebo slabá hesla, aby své heslo na Facebooku změnili na něco unikátního a zapnuli si dvoufaktorovou autentizaci.”

Vedle komentáře Johna Shiera nabízím i komentář bezpečnostního experta společnosti Sophos Michala Hebedy, který formou QnA dává uživatelům sociální sítě Facebook doporučení, jak se v této situaci zachovat:

1. Měl/a bych si změnit heslo na Facebooku?

MH, Sophos: Je docela dobře možné, že v důsledku tohoto bezpečnostního incidentu nepadla do rukou podvodníků žádná hesla. Pokud se však nějaká hesla přece jen dostala do nesprávných rukou (a můžete vsadit boty, že podvodníci běžně prohledávají jakákoli stará data, které mají k dispozici, aby zjistili, zda dříve něco neopominuli), můžete očekávat, že budou zneužita. Hashovaná hesla musí být nejprve prolomena, aby mohla být používána, zatímco čistá (plaintextová) nezašifrovaná hesla jsou skutečným zlatým dolem bez nutnosti je prolamovat. Moje rada tedy zní: změňte si heslo hned teď.

2. Mám si zapnout dvoufaktorovou autentizaci?

MH, Sophos: Ano, zapněte si okamžitě dvoufaktorovou autentizaci (2FA). Doporučuji, abyste dvoufaktorovou autentizaci používali všude, kde můžete – její výhoda spočívá v tom, že samotné heslo nestačí k tomu, aby podvodníci napadli váš účet.

Pokud se zdráháte poskytnout Facebooku své telefonní číslo, použijte autentizaci založenou na aplikaci, kdy váš mobilní telefon vygeneruje při každém přihlášení jednorázový kód.

3. Mám zavřít svůj účet na Facebooku?

MH, Sophos: To za vás nemůžeme rozhodnout. Vzhledem k tomu, že nesprávně uložená hesla nebyla snadno přístupná v jedné databázi nebo nebyla záměrně uložena pro rutinní použití během přihlášení, nemyslíme si, že toto bezpečnostní porušení je samo o sobě dostatečným důvodem k ukončení vašeho účtu. Na druhou stranu to znamená velký černý puntík pro Facebook, a mohlo by to – spolu se všemi dalšími pochybnostmi z posledních let o schopnosti Facebooku ochránit soukromí jeho uživatelů – stačit k tomu, abyste tento finální krok provedli. Krátce řečeno, musíte si to rozhodnout sami – pokud vám to pomůže, tak my své účty na Facebooku nerušíme.