Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Facebook logde wachtwoorden honderden miljoenen gebruikers in plain text

Facebook heeft de wachtwoorden van tweehonderd miljoen tot mogelijk zeshonderd miljoen gebruikers jarenlang in platte tekst gelogd en opgeslagen op interne servers. Daardoor konden meer dan twintigduizend medewerkers van het bedrijf deze doorzoeken.

De onversleutelde opslag gebeurde door een reeks beveiligingsfouten bij applicaties die de wachtwoorden logden. Dat heeft een anonieme Facebook-medewerker tegen Krebs on Security bekendgemaakt. Uit interne logs zou blijken dat tweeduizend medewerkers zo'n negen miljoen queries met betrekking tot de wachtwoorden hebben gedaan.

Het bedrijf zoekt naar precieze oorzaken die tot de beveiligingsproblemen hebben geleid. Uit de analyse bleek dat de oudste wachtwoorden in 2012 waren aangemaakt. Op welke datum de nieuwste wachtwoorden waren aangemaakt is niet duidelijk.

Facebook bevestigt de opslag van de onversteutelde wachtwoorden en stelt honderden miljoenen gebruikers van Facebook Lite, tientallen miljoenen andere gebruikers van Facebook en tienduizenden Instagram-gebruikers in te lichten over het voorval. Facebook gaat niet afdwingen dat gebruikers hun wachtwoord moeten wijzigen. Het bedrijf zou geen aanwijzingen hebben voor misbruik en benadrukt dat deze alleen intern in te zien waren.

De problemen kwamen in januari van dit jaar aan het licht bij het reviewen van nieuwe code door beveiligingstechnici. Uit die analyse bleek dat de wachtwoorden per ongeluk in plain text gelogd werden.

Door Olaf van Miltenburg

Nieuwscoördinator

21-03-2019 • 16:57

129 Linkedin Google+

Submitter: AnonymousWP

Reacties (129)

Wijzig sortering
Facebook bevestigt de opslag van de onversteutelde wachtwoorden en stelt honderden miljoenen gebruikers van Facebook Lite, tientallen miljoenen andere gebruikers van Facebook en tienduizenden Instagram-gebruikers in te lichten over het voorval. Die zouden niet hun wachtwoord hoeven te wijzigen. Het bedrijf zou geen aanwijzingen hebben voor misbruik en benadrukt dat deze alleen intern in te zien waren.
Uh, nee. De wachtwoorden waren in te zien door personen die hier geen toegang toe zouden moeten hebben, dus veranderen zou een eis moeten zijn op dit moment. Hierbij moeten ze niet uitgaan van goodwill, maar juist van het feit dat ook maar 1 persoon van die duizenden medewerkers iets opgeschreven kan hebben.

-EDIT-
Vanuit het artikel van van Facebook zelf ook:
Securing Your Account

While no passwords were exposed externally and we didn’t find any evidence of abuse to date, here are some steps you can take to keep your account secure:
  • You can change your password in your settings on Facebook and Instagram. Avoid reusing passwords across different services.
Hierbij geven ze aan dat je je wachtwoord kunt resetten. Ben ik het niet mee eens — zorg ervoor dat het resetten wordt afgedwongen, elke andere stap zou enorm nalatig zijn.

[Reactie gewijzigd door stuiterveer op 21 maart 2019 22:00]

Ik vind het best schokkend dat nieuwsberichten deze stelling klakkeloos overnemen en er geen controle op lijken toe te passen of die reactie verstandig is vanuit het punt van veiligheid.

Als iemand die er belang bij heeft dat het rustig blijft stelt dat er niets aan de hand is en iedereen rustig kan gaan slapen dan mag je wel kritisch zijn of beweringen of stellingen houdbaar zijn. Journalistiek is niet simpel beweringen overnemen, maar ook controleren of beweringen wel kloppen.

In de reactie van facebook lees ik geen enkel punt waaruit blijkt dat het verstandig is om er als gebruiker of als facebook op te gokken dat het probleem weg is zolang ze zelf geen bewijs zien voor misbruik. Facebook is niet bepaald in staat gebleken goed inzicht te hebben in de eigen beveiliging, laat staan dat ze daarvoor in kunnen staan als de wachtwoorden ook ergens anders gebruikt kunnen worden.
Is het de taak van een nieuwsbericht om hun eigen mening ergens over te geven, of enkel om te berichten wat door Facebook wordt gemeld? Gebruikers zouden hun wachtwoord niet te hoeven wijzigen. Dat is een correcte bewering, want door degene die de wachtwoorden beheert is gezegd dat het niet nodig is. Daar is geen controle op nodig, het is enkel het informeren van mensen over wat een andere instantie heeft aangegeven.

That said, zou het Tweakers inderdaad sieren als artikelen als deze van een kritische noot voorzien zouden zijn. Maar van een gratis website verwacht ik dit niet per se in de algemene artikelen als deze, enkel in achtergrondartikelen en reviews.
Ben het volledig oneens met je eerste paragraaf.
Journalistiek houdt iets meer in dan het overnemen van artikelen.
In de tweede alinea ga ik dan ook meer in over de redenen waarom ik dit niveau zou verwachten op Tweakers ;) Als je naar de volledige journalistiek kijkt, mag een kritische noot. Maar moet elk artikel dat zijn?
Wikipedia: "Journalistiek is de discipline van het verzamelen, controleren, rapporteren en analyseren van het nieuws."

Dus het behoort gecontroleerd te worden of de veiligheid van de gebruiker inderdaad niet in het geding is, of dat nou overduidelijk tegenstrijdig met het bericht is, of niet.
Dat lees ik anders. De controle hierin lees in als een controle of het nieuws feitelijk correct is. En inderdaad is het volgens Facebook niet nodig dat gebruikers hun wachtwoord wijzigen, zoals aangegeven in het artikel.
Helemaal met je eens! Wel opmerkelijk dat je het hebt over “journalistiek”; ik heb Tweakers nog nooit als een journalistiek product beschouwd. Goed idee om dat wel te doen!
Die reactie van Facebook legt precies bloot waarom ze hun beveiliging nooit op orde zullen krijgen. Het idee dat je pas moet ingrijpen als het misgegaan is en dat dat misgaan uitgelekt is, is fundamenteel fout. Beveiliging blijft blijkbaar bijzaak en symptoombestrijding.
Ik kan me goed voorstellen dat dit ook intern bij fb als een grote blunder wordt gezien.
Ik heb ooit een aantal bronnen gelezen waarin ze aangeven op heel veel plaatsen oplossingen te gebruiken die het voor ontwikkelaars daar moeilijk maken om cruciale (data) veiligheidsblunders te begaan, en dat ze bijv een significant percentage van hun rekenkracht besteden aan het bepalen of een gebruiker al dan niet toegang heeft tot een stuk informatie.

Jouw stelling dat fb haar beveiliging nooit op orde zal krijgen zou natuurlijk best kunnen, maar gezien de middelen en expertise van het bedrijf zou dat ook moeten betekenen dat een organisatie als google, amazon, de overheid, elk willekeurige mediabedrijf, etc. het niet beter kan doen. En daarmee zijn blunders als dit dus gewoon een heel gemiddeld voorkomen dat elk organisatie vroeg of laat zal treffen.
(...) dat ze bijv een significant percentage van hun rekenkracht besteden aan het bepalen of een gebruiker al dan niet toegang heeft tot een stuk informatie.
Laat me niet lachen! Sinds wanneer is dat zo CPU-intensief?
Het zal hem denk ik in de eerste plaats niet zitten in het uitvoeren van een simpele vergelijkingsoperatie, maar het werk eromheen, om extra gegevens te laden.
Neem bijv. een foto in een album dat zichtbaar moet zijn voor vrienden van diegenen die in het album getagd zijn, voor vrienden van vrienden van de album contributors, voor vrienden van de eigenaars van individuele fotos in dat album, voor zgn. legacy contacts, voor de medewerkers die bepaalde soorten content moeten flaggen nadat het gerapporteerd werd, etc.
Elke keer als een foto naar een gebruiker wordt uitgegeven, zullen groot aantal van dit soort checks uitgevoerd worden, en daarvoor moeten dan heel veel extra gegevens geladen worden. Veel meer dan de directe metadata van de foto zelf
Nee, het werkt andersom volgens mij. Een gebruiker komt überhaupt alleen bij die foto omdathij getagd is of anderszins eraan gerelateerd. Wat jij beschrijft is gewoon het core algoritme van Facebook om te bepalen welke content jij te zien krijgt. Dat rekenwerk doen ze dus toch al.
Nou ze hebben de beveiliging daar aardig op orde hoor. Ze geven niet voor niets hoge bounty's. Dat het in het verleden fout ging is zeker niet goed nee,_
Het ging om interne toegang tot wachtwoorden tot 2012.
) maar om nu te stellen dat ze de beveiliging nooit op orde zullen krijgen gaat wel heel ver.

[Reactie gewijzigd door Emin3m op 22 maart 2019 09:57]

Nou hier is een nieuwsbericht wat anders zegt:
https://tweakers.net/nieu...uikers-in-plain-text.html

Oh wacht....
Het is dat ik voor iedere site een random generated wachtwoord heb, maar nu ga ik sowieso deze van fb veranderen.

Zo'n grote website die dan zo'n stomme fout maakt. Ik dacht eerst dat het 1 april was..
Stomme fout ? Dit was gewoon een feature waar de medewerkers gebruik van konden maken.

Nee we hebben alleen anonieme date van je. We geven een ander bedrijf toegang tot de data en gebruiken dit.
...zorg ervoor dat het resetten wordt afgedwongen
Dit lek is van 2012. Veel van de getroffen gebruikers hebben mogelijk hun wachtwoord al eens gewijzigd waardoor dit lek hen dus niet meer zou treffen. Moeten ze dan alsnog een harde reset krijgen? Ik denk dat Facebook gewoon even goed moet kijken welke gebruikers op dit moment nog risico lopen. In de mail die ze naar de gebruiker sturen zouden ze dit ook goed moeten communiceren. Zo van, wij zien dat u in 2014 uw wachtwoord heeft gewijzigd, dus u hoeft verder geen actie te ondernemen.
Veel van de getroffen gebruikers hebben mogelijk hun wachtwoord al eens gewijzigd waardoor dit lek hen dus niet meer zou treffen. Moeten ze dan alsnog een harde reset krijgen?
Goed punt, in dat geval lijkt me handig om logs na te lopen of dit is gebeurd en dit alleen te doen voor mensen waarbij dit nog niet is gebeurd. Mochten ze dit niet fatsoenlijk kunnen nagaan (wat ik overigens betwijfel), dan ja, absoluut. Bij zoiets als dit kunnen geen risico's worden genomen. Ze kunnen ook niet er op vertrouwen dat mensen zelf wel ooit het wachtwoord veranderen na dit gedoe, want de meesten zullen niet vanzelf die moeite doen tenzij ze gedwongen worden.
snap niet dat tweakers hier niks over zegt:

Die zouden niet hun wachtwoord hoeven te wijzigen. Het bedrijf zou geen aanwijzingen hebben voor misbruik en benadrukt dat deze alleen intern in te zien waren

Gewoon kopieren en plakken die handel. Zou je niet als tech site erbij zetten dat het zeer verontrustend is dat het bedrijf dit advies geeft?
Dit is voor een ander bedrijf ook al eens aan bod gekomen. In logs is het wel normaal dat er gedetailleerde of gevoelige informatie staat. De domme logger module weet niet wat sensitive data is, dat gebeurt in de aanmeld-module. Logs zijn altijd een beetje risico-vol
Toch zou ik niemand vertrouwen, kans is toch groot dat iemand die logs had gevonden, getest, en misschien wat leuke foto's heeft bijgehouden van kennissen. (Dat meisje op school dat ie nooit had kunnen krijgen, denk zelf aan de film the social network)

[Reactie gewijzigd door g4wx3 op 21 maart 2019 17:10]

Dit is voor een ander bedrijf ook al eens aan bod gekomen. In logs is het wel normaal dat er gedetailleerde of gevoelige informatie staat. De domme logger module weet niet wat sensitive data is, dat gebeurt in de aanmeld-module.
Tja, dat ligt toch echt aan hunzelf. Laten we het logging systeem van een bedrijf dat wel om privacy geeft (Apple) als voorbeeld nemen:
The unified logging system considers dynamic strings and complex dynamic objects to be private, and does not collect them automatically. To ensure the privacy of users, it is recommended that log messages consist strictly of static strings and numbers. In situations where it is necessary to capture a dynamic string, you may explicitly declare the string public using the keyword public. For example, %{public}s.
M.a.w. alle variabelen die mogelijk gevoelige informatie kunnen bevatten worden standaard NIET gelogged (in de logs staat er op die plek dan 'redacted') tenzij:
  • 1) De developer in de log format string expliciet aangeeft at het om niet-gevoelige informatie gaat.
  • 2) De gebruiker een profile installeert op zijn toestel voor een specifieke applicatie waardoor voor die applicatie de gevoelige gegevens wel gelogged worden.
Zo kan je dus gewoon log regels toevoegen met alle informatie die je e.v.t. zou willen, en alleen als het echt nodig is voor debugging kan je een enkele gebruiker de logging hiervan laten inschakelen. Je kan dit niet per-ongeluk fout doen want de default is dat gegevens niet gelogged worden.
Rustaaag allemaal hoor:
  • "beveiligingsfouten bij applicaties die de wachtwoorden logden"
  • "De problemen kwamen in januari van dit jaar aan het licht bij het reviewen van nieuwe code door beveiligingstechnici."
Dat dergelijke zaken in een log voorkomen is niet heel gek: als b.v. code voor debug de hele verzoeken logt dan heb je al wachtwoorden te pakken. Zie ik wel vaker voorkomen. Zonder kwade opzet. En dat ze dit zelf zien, fixen en melden is lovenswaardig. Veel bedrijven zullen niet eens weten dat dergelijke zaken spelen. En als ze het vinden nooit melden. Zeker niet als ze al onder een vergrootglas liggen.

Dus ja slordig maar prima detectie en follow-up als je het mij vraagt...
En dat ze dit zelf zien, fixen en melden is lovenswaardig.
Dit lek blijkt jarenlang te hebben bestaan en is blijkbaar zo belangrijk dat iemand dit 7 jaar later alsnog anoniem meldt. Je gaat mij niet vertellen dat Facebook hier dus niet minimaal 7 jaar lang van op de hoogte was. Dus om nu te zeggen dat Facebook actief inspringt op deze zaak is nogal zwak uitgedrukt. Ze worden nu geforceerd te reageren doordat dit in het nieuws komt. Dat klinkt als de meest slechte follow-up die je maar kan wensen.

Dat er geen kwade opzet in het spel was wil ik nog wel geloven. Maar al het andere wat je schrijft is pure speculatie of gewoon niet waar.
Hoe log je per ongeluk wachtwoorden?
To be honest gaat dit best makkelijk. Het is natuurlijk ernstig dat dit bij een groot bedrijf als Facebook gebeurd. Verder denk ik wel dat dit een oprechte fout was, ik kan persoonlijk namelijk niet echt een scenario verzinnen waarbij Facebook veel aan je Facebook wachtwoord heeft.

Een voorbeeld waardoor wachtwoorden per ongeluk gelogd worden: Het log systeem logt gewoon elk request, inclusief de POST data. (waarin je wachtwoord zit bij een login/registratie/wachtwoord reset).
Waarom zou je wachtwoorden als plain text in je post data opslaan? En hoe kan dat per ongeluk? Dan loop je tegen het probleem dat een plain text wachtwoord wordt vergeleken met een database, waardoor het inloggen gewoon compleet niet meer werkt. Tenminste, ik hoop toch dat er geen plain text wachtwoorden in hun databases staan. Of er is "per ongeluk" een functie die het wachtwoord uit de post data eerst hashed zodat het wel werkt.

Wat wel zou kunnen is dat er per ongeluk nog een test functie aan stond die het wachtwoord voordat deze gehashed wordt ergens opslaat.

[Reactie gewijzigd door mjz2cool op 22 maart 2019 13:39]

Waarom zou je wachtwoorden als plain text in je post data opslaan? En hoe kan dat per ongeluk? Dan loop je tegen het probleem dat een plain text wachtwoord wordt vergeleken met een database, waardoor het inloggen gewoon compleet niet meer werkt. Tenminste, ik hoop toch dat er geen plain text wachtwoorden in hun databases staan. Of er is "per ongeluk" een functie die het wachtwoord uit de post data eerst hashed zodat het wel werkt.

Wat wel zou kunnen is dat er per ongeluk nog een test functie aan stond die het wachtwoord voordat deze gehashed wordt ergens opslaat.
Dat wachtwoorden als plain text over de lijn gaan is volstrekt normaal (uiteraard wel met end-to-end encryption op het request zelf), de server MOET namelijk het wachtwoord in plain text binnen krijgen.
Denk eens na over wat er gebeurt als je dat lokaal al zou hashen in je client. Dat betekent gewoon dat je nieuwe hashed wachtwoord in feite gewoon je 'plain text' wordt. De server moet het binnengekomen wachtwoord namelijk nog steeds simpelweg kunnen hashen en vergelijken met de opgeslagen hash.

En dat POST request worden gelogd zonder dat daar de wachtwoorden nog uit worden gefilterd, tja dat is een makkelijke fout om te maken voor beginners. Dat Facebook het ook deed is wel erg triest.
Ik bedacht me net ook dat ik dat verkeerd heb, de post data is natuurlijk altijd plain text, anders zou je het inderdaad clientside moeten hashen. Het is al even geleden dat ik met php bezig ben geweest.

[Reactie gewijzigd door mjz2cool op 22 maart 2019 17:56]

Wanneer ik jouw reactie lees krijg ik het gevoel dat je niet volledig begrijpt hoe authenticatie (en ook andere requests) werken. Elk request zelf is, als het goed is, versleuteld met SSL-encryptie. Dit betekent (in theorie) dat buitenstaanders niet de inhoud van het request kunnen zien (de POST body, in dit geval). De server en de client kunnen WEL de body in plain text zien (immers, als die dat niet zouden kunnen zouden ze niet kunnen communiceren met elkaar). Verder zijn de wachtwoorden in de database, als het goed is, gehasht, waardoor die ook niet zichtbaar zijn.

Maar daar tussen zit een stap waarbij de wachtwoorden wel beschikbaar zijn in plaintext. Dit is op het moment van ontvangst. Dit moment wordt heel vaak gelogd, best practice is om hierbij de body van het request niet op te slaan, of in ieder geval de sensitieve date eruit te halen. Waarschijnlijk gebeurt dit, normaal gesproken, ook gewoon bij Facebook.

Een logische reden voor het optreden van de fout die in dit artikel wordt besproken is bijvoorbeeld dat een developer iets aan het testen was, en daarvoor meer data nodig had dan dat er normaal gesproken gelogd wordt. Doordat het loggen van extra data vaak geen foutmelding geeft kan dit relatief makkelijk in de productie build komen.

Uitleggen is niet mijn sterkste kant, maar ik hoop dat het nu duidelijk is!
De wachwoorden werden niet per ongeluk gelogd, dat ze in plaintekst werden gelogd is wat per ongeluk ging. tja, en waarom ze wachtwoorden wilde loggen is een andere discussie.
Het is dan weliswaar zo dat facebook nu vaak slecht in het nieuws ben maar heb nu niet het idee dat er echt een afname is. Ben wel benieuwd hoe lang facebook het gaat volhouden nu openbook.social in de eerste beta zit en zeer goed is ontvangen.
Openbook.social? Nooit van gehoord... (en 99 van de 100 anderen hier ook niet)
Probleem met dit soort initiatieven is.. het is wel grappig.. maar zodra er een miljard gebruikers op zitten zullen ook zij met enórme kosten zitten die érgens betaald moeten worden.
Dat was het hele ding: dat wilde ze volgens mij gaan doen door gebruikers te laten betalen per maand om de dienst draaiende te kunnen houden.
Misschien wil ik best wel een euro per maand betalen voor een goede dienst.
Netflix kost het tienvoudige. Mijn telefoon ook. Kabelaansluiting nog veel meer.
Niet alles hoeft gratis. Als ik dan niet wordt verkocht en geen duizenden advertenties hoef te zien.
Een euro lijkt weinig maar bij een half miljard gebruikers loopt het lekker binnen.
Waarom hebben we Social Media nodig? Als het wat gaat kosten (behalve je Private daten, waarmee je bij Facebook betaalt) wordt het niks imho.
En jij denkt dat je met euro 500 mio een equivalent van facebook met 500 miljoen gebruikers kan laten draaien (denk ook even het personeel, infrastructuur, etc. etc.) Dream on.👍
Zag op de site dat het vooral gebaseerd is op themes en icoontjes die ze willen verkopen..
Ik heb indertijd alle Hyves en MySpaces aan me voorbij laten gaan en me uiteindelijk laten strikken door Facebook.
Datzelfde Facebook heb ik - van de ene op de andere dag - verwijderd nadat ik tegen een stuk wetgeving heb gestemd waarbij de tweede kamer uiteindelijk niet naar me heeft geluisterd. Ik heb nog steeds geen spijt van die beslissing, en vraag me ergens af waarom ik ooit een Facebook-profiel heb aangemaakt.

Ik heb inderdaad een keer gelezen over Openbook, en ik bedank. Nogmaals, ik heb me nooit minder gevoeld met zonder de voorlopers van Facebook, en ik zie geen enkele reden om opnieuw in de val van een sociaal netwerk te trappen... hoe vaak de mensen die er een commercieel belang bij hebben (bijvoorbeeld omdat ze er (eigen) geld in hebben zitten) ook zeggen dat mijn data en privacy een hogere waarde hebben dan hun wens om hun centen terug te verdienen.

Het lijkt me dat je anno nu met iets moet komen dat Facebook verpletterd. Want je hoeft er absoluut niet op te rekenen dat het gros wegloopt om de schandalen. Op dit moment is er bij lange na nog geen kritische massa bereikt in het weglopen bij Facebook. En als de huidige hoeveelheid schandaal daarvoor niet genoeg is, dan zal het nog wel even duren.
Our revenue model is an optional subscription called Openbook Gold offering access to more reactions, themes and customization options.
Hahaha... het business model van Openbook is het (tegen betaling) terugbrengen van Hyves en MySpace ;)

[Reactie gewijzigd door Jester-NL op 21 maart 2019 17:35]

Ik merk aan mijn vriendenkring (voornamelijk dertigers) dat het aantal FB gebruikers daar wel aan het afnemen is. Als iemand jarig is worden er weer uitnodigingen verstuurd via andere kanalen, omdat de kans groter wordt dat mensen anders worden overgeslagen.
Helaas merk ik dat verschil dan weer niet, alles via Facebook( ben zelf ook in de 30)

Trouwerij uitnodiging
Verjaardag
Housewarming

Etc allemaal via Facebook, en dan eens paar dagen van te voren bericht kwam je ook nog ?
En dan zeg je wat ja dat heb je ontvangen op Facebook, tja misschien moet je mensen persoonlijk eens bericht sturen of bellen ofzo.
Ja echt briljant, hopen dat dat ook nooit veranderd.

Heb zelf nooit Facebook account gehad, dus kan al die meuk rustig "niet weten, want geen Facebook" als ik daar geen zin in heb. :)
Ik heb het nog wel maar ik gebruik het niet, heb de app ook niet meer.
Ik kijk heel af en toe eens via de pc eens.

Maar als ze mij willen uitnodigingen willen voor iets kunnen ze ook op normale manier doen, en niet op internet pleuren en klaar iedereen kan zien.

Je hoeft mij echt niet perse te bellen ofzo, een whatsapp vind ik zelfs nog prima.
Het is dan persoonlijk gericht aan jou, en niet globaal iedereen klaar.

Net als mensen die je feliciteren alleen op Facebook, en niet even je leuk berichtje persoonlijk sturen.
Heb ook geen Whatsapp. :+

Maar moet er ook bij zeggen dat ik absoluut niet heel sociaal ben in de recreatieve zin van het woord.

Als ik iemand kan helpen ergens mee, doe ik het graag en als je dan eind van de dag ergens gezellig op een terras eindigt best, maar de "laten we afspreken om gezellig leuke dingen te gaan doen met zijn allen" heb ik echt een tyfushekel aan.

Als dat spontaan gebeurt, prima! Als de agenda erbij gepakt moet worden, gewoon nee. :)
E-mail is zo veel fijner dan dat opdringerige spamgedoe van Zuckerberg.
Je familie zal er aan moeten wennen. Facebook is gewoon door en door verrot.
Data lekken, fakenieuws, spam, live terreuraanslagen, onthoofding video's, maar een blote borst is binnen vijf minuten verwijderd, inclusief een ban. Facebook is verrot tot in de kern. (Niet de mensen die er op zitten! Tenminst heel veel zijn gewoon lief en veel te naïef.)

[Reactie gewijzigd door akooijman op 21 maart 2019 19:53]

Ik ben nog steeds op zoek naar een sociaal platform dat wel eerlijk is, en gedecentraliseerd, dan is het weer leuk om dingen te delen en een online profiel op te bouwen, openbook.social of een ander, lijkt me mooi!

Ik denk dat heel veel mensen snakken naar zo'n concept.
Diaspora bestaat al jaren. Als je een bestaande (vrienden)groep zover krijgt om 't eens te proberen, dan kan 't een prima alternatief vormen. Gedecentraliseerd en er is ook een soort integratie met Twitter en Facebook, nooit in verdiept.
Zeer goed ontvangen door wie? De 1000 beta gebruikers?
Hij zou er zelf wel mee te maken hebben, beetje reclame maken voor ze bedrijf? want ik heb er nog nooit van gehoord. Ik zou niet inzien waarom facebook daar op dit moment bang voor moet zijn.

[Reactie gewijzigd door ro8in op 21 maart 2019 18:24]

2000 Alpha gebruikers ;-)
Achja, openbook.social, ten eerste nooit van gehoord, en ten tweede, leuk dat ze zicht op privacy richten, maar ook zij zullen in de toekomst fouten en lekken gaan krijgen naarmate ze verder groeien. Zelf zie ik het nut niet in van NOG een facebook achtige site.
Oh wauw, facebook moet echt een keer orde op zaken gaan stellen. Hoe kan het dat zo'n gigant zo vaak de fout ingaat? Of laat ik het anders verwoorden, hoe kunnen overheden toestaan dat er op zo'n manier omgegaan wordt met gevoelige data van inwoners?
Oh dit is waarschijnlijk dagelijkse kost. En niet alleen in logs, er zijn nog altijd websites die gewoon de wachtwoorden zelf plain-text in een database smijten. Klik je op “wachtwoord vergeten”, wordt je wachtwoord doodleuk per e-mail aan je gestuurd. :+ Ik denk ook niet dat dat perse illegaal is om te doen...

Dat is een van de vele redenen waarom unieke wachtwoorden, op zijn minst voor je gevoelige zaken, zo enorm belangrijk zijn.

Toch is het goed dat Facebook’s eigen security team dit vindt, het toegeeft, openbaar maakt en de getroffen gebruikers gaat inlichten. Ik heb vaak zat gezien dat bedrijven/organisaties dat niet doen, helaas. ;(

[Reactie gewijzigd door WhatsappHack op 21 maart 2019 17:16]

Oh dit is waarschijnlijk dagelijkse kost. En niet alleen in logs, er zijn nog altijd websites die gewoon de wachtwoorden zelf plain-text in een database smijten. Klik je op “wachtwoord vergeten”, wordt je wachtwoord doodleuk per e-mail aan je gestuurd. :+ Ik denk ook niet dat dat perse illegaal is om te doen...
Wel als er ook maar in enige vorm persoonsgegevens achter schuil gaan, want die moeten vanuit de AVG/GDPR met adequate technische maatregelen beschermd worden, zoals ingegeven door o.a. het courante beveiligingslandschap en de stand van de techniek.
Meestal als je als aanvaller in die database komt, dan heb je die gegevens ook al tot je beschikking gezien 9 van de 10 keer die data bij elkaar staat. Het is dan niet zozeer dat er een extra straf is omdat de wachtwoorden niet hashed waren opgeslagen, ongeacht dat een aanvaller dan mogelijk ook weer op andere plekken er gegevens mee weet te jatten. Als de user + pass in een andere database staan, zijn er volgens mij ook niet perse regels voor dat die gehasht moeten zijn. Je moet toegang tot de informatie beveiligen, maar hoe je het precies opslaat is volgens mij (nog) niet aan regels gebonden. Eisen dat wachtwoorden gehashed moeten worden lijkt me geen slecht plan. Al zul je vast diensten hebben die het PT/PT-accessible moeten kunnen opslaan, dus daar vaart dat schip waarschijnlijk nu ter plekke alweer weg. :+
Meestal als je als aanvaller in die database komt, (...)
En dat heeft te maken met je eerdere opmerking-- hoe? Je schrijft dat je ook niet denkt "dat dat perse illegaal is om te doen", dwz het terugsturen van een password via e-mail.

Als dat een praktijk is die niet te vereenzelvigen is met het nemen van adequate technische (en procesmatige, trouwens...) maatregelen om achterliggende persoonsgegevens te beschermen, dan is het strijdig met de AVG/GDPR en dus weldegelijk illegaal...

[Reactie gewijzigd door R4gnax op 22 maart 2019 20:17]

Ohh ik dacht dat je het had over wachtwoorden opslaan in plain-text.

Nou, ja, dat is discutabel. Er worden wel vaker gevoelige gegevens uitgewisseld per mail. In principe is het op ‘t moment dat je het ontvangen hebt je eigen probleem of het veilig opgeslagen wordt of niet.
Ze hebben het niet zelf openbaar gemaakt, daar waren Brian Krebs en een anonieme insider voor nodig.

En nu die de volgende lading vuile was buitengehangen hebben rest er Facebook niets anders dan de volgende ronde damage-control.

Dus: helemaal niet ‘goed’.

[Reactie gewijzigd door burne op 21 maart 2019 17:23]

Wachtwoorden plain text opslaan is zeker illegaal onder de AVG.
Je moet 'passende' maatregelen nemen voor het veilig opslaan van persoonsgegevens en voor wachtwoorden mag je verwachten dat dat betekent 'niet plain-text, en bruteforce resilient'


"‘Processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures."
Inderdaad,

En een website als Tweakers.net heeft dit goed op orde natuurlijk. Maar goed die doen aan veel beveiliging etc. Het grappige is dat bij Google vrijwel alleen de ''IT BANEN / V&A'' toch wel de meest belangrijke zijn waar data echt goed op orde moet zijn vooral wanneer je aan het chatten bent omdat je iets hebt gekocht en je de adresgegevens hebt doorgestuurd.

De rest van de website ''forum'' etc tja daar is gewoon de hedendaagse chitchat ..
Hoe kan het dat zo'n gigant zo vaak de fout ingaat?
Van iemand die z'n gebruikers "dumb fucks" noemt mag je zoiets toch verwachten?
Met deze vraag opende ik de vervolgvraag, hoe kan het dat iedereen het toestaat dat een bedrijf zo omgaat met personen en data.
Omdat eigenlijk niemand er zich druk in maakt. Zo simpel is het. Nu vinden jij en ik dit nieuwsfeit misschien echt totaal onbegrijpelijk dat zoiets kan gebeuren, voor de gemiddelde burger is dit een realiteit waar men zich niet druk in maakt.

De overgrootte meerderheid leest dit, denkt "oei, dat is zuur" en gaat verder met z'n leven. Het is een heel beperkte minderheid van mensen die daadwerkelijk stoppen met services van dergelijke bedrijven te gebruiken en eigenlijk algemeen is de groep mensen die écht "privacybewust" zijn heel, heeeeel klein.

Het wordt tijd dat we dit beginnen beseffen. De meerderheid van de burgers trekt zich helemaal niks aan over zijn eigen privacy (ook al roepen ze heel soms van wel). Ik vind dit sociologisch vergelijkbaar met de huidige milieubeweging. Wie weet dat er binnen x-aantal jaren wel mensenmassa's op straat komen om op te komen voor onze privacy, maar nu...? Nee hoor.

[Reactie gewijzigd door The_Flurk op 21 maart 2019 17:43]

Tussen het "zich aantrekken" en afscheid nemen van de diensten van Facebook, ligt een behoorlijke drempel, inderdaad, dat is de realiteit.

Hier ligt toch ook wel een taak voor de overheid (in dit geval misschien de EU): alleen de overheid kan de maatregelen nemen die Facebook dwingen zijn beleid aan te scherpen. Een boete van een paar miljard euro biedt echt wel soelaas...
Ze hebben al veel boetes gehad, dat helpt niet tegen fouten als deze als die al sinds 2012 bestaan.

Gewoon Facebook in de ban doen. Heb ik vele jaren geleden gedaan en geen spijt van gehad.

[Reactie gewijzigd door gjmi op 21 maart 2019 19:48]

Ik heb onlangs alles van Facebook (voorlopig met uitzondering van Instagram) weggegooid. Alle FB urls (ongeveer 800!!) worden geblokkeerd via pi-hole.
Omdat zuck gelijk heeft. Ik zie genoeg mensen die naar de app free wallpapers and screensavers gewoon downloaden en apparaatbeheerder en alle permissies gewoon toestaan zonder na te denken.
Langs de andere kant als iedereen zich bewust is van hun data, is er ook geen economie meer.
Langs de andere kant als iedereen zich bewust is van hun data, is er ook geen economie meer.
Dat is regelrechte onzin. Er zouden een aantal dingen anders geregeld zijn dan nu (en misschien wat minder efficiënt vanuit de visie van de mensen die ons graag van alles verkopen), maar om het grootste deel van onze economie te laten draaien hebben we echt geen gedetailleerde gebruikersprofielen nodig.
Hier is het nog uitgeligt ;) vraag je eerder af hoe de ''overheid'' met al jouw DATA omgaat.
Ik denk dat ze het even slecht doen en daar staat gevoelige DATA in. Bij Facebook denk ik alleen wat foto's etc en wat misschien picante berichtjes meer niet.
... en je hele browsegeschiedenis (van sites waar facebook-elementen op staan) als je geen (ad)blocker gebruikt. En je hele telefoonboek als je de mobiele apps gebruikt. En je locatiegeschiedenis, etc. Facebook logt genoeg om ook daar serieus naar te kijken. Daarnaast moet je ook kritisch zijn op de overheid, en alle andere partijen die je bewust of onbewust je data toevertrouwd.

Dus wat is je punt? ;)
Je kan niet bewust onbewust Facebook gebruiken. Je gaat akkoord met alles van hun. Mensen lezen helaas niet.

Maar "Humancentipide" komt aardig in de buurt.
Onbewust slaat niet op Facebook in mijn punt. :? Maar omdat je erover begint: Je kunt wel degelijk onbewust Facebook gebruiken. Deze maken namelijk geen onderscheid tussen het wel of niet hebben van een account bij het tracken van je browser op de pagina's waar ze embed worden. Die social links komen vaak van de social media-server af. Dat betekent dus dat zij je bezoek kunnen loggen.

Zonder anti-tracking sta je dus al in de logs ;)
Als Jantje Facebook gebruikt, en ik niet. Maar ik sta wel in zin contact lijst op zijn telefoon, en hij maakt de keuze om zijn contacten met Facebook te delen, dan zijn alle persoonsgegevens die Jantje van mij heeft, ook bekend bij Facebook. Dat is niet iets waar ik dan bewust voor kies.. Ik ben het dus niet eens met je stellige stelling.
Maar je kan er niks tegen doen want dat gebeurt ook op Android ios windows etc.
Wat gebeurt ook op Android, IOS & Windows? Alleen Whatsapp doet dit (suprise, ook Facebook).
Ik vindt toch dat wachtwoorden e.d. onder gevoelige data vallen. Uiteraard zijn medische dossiers e.d. erger, maar dat verminderd niet dat giganten tegenwoordig maar overal mee weg kunnen komen, doordat ze zoveel geld hebben. En als een overheid op grote schaal data lekt van inwoners, dan zit daar al gauw een of andere privacy waakhond op, met de woede van de burgers. Terwijl de gemiddelde mens veel meer accepteerd van Bedrijven.

Oftewel, het is zowel acceptatie van de bedrijven, overheden en burgers, waar eigenlijk in iets zou moetenv eranderen om dit soort dingen tot een minimum te beperken.
En al die "log in via facebook" websites dan...?
Geld. Ook Google krijgt een boete, maar als je genoeg geld hebt is dat gewoon een soort premie die je maar betaald om winst te blijven maken. Waarom zou je stoppen als het onder de streep geen echte impact maakt? Het is ook goed voor de economie van het land.
Het hele VAG schandaal is er volgens mij ook maar een enkele bestuurder daadwerkelijk de knast in gegaan, en waarschijnlijk kort.

Totdat er een echt een pijnlijk gevolgd gekoppeld wordt aan alle mensen die profijt hebben van meer winst gebeurt er niks. En ik ben wat Amerika betreft cynisch - rijk steunt rijk dus daar gebeurt niks.
Daar is de GDPR voor gekomen?

Edit:
Voordat iemand met 'tot 2012' komt; Dat iets tot 2012 geïndexeerd is betekend niet per definitie dat het nu beter is opgeslagen; die files / indexes kunnen net zo goed nog unencrypted passwords bevatten. Er wordt immers gesproken dat het door een code review aan het licht kwam, dat kan dus in januari van dit jaar geweest zijn en valt het wel degelijk onder GDPR.

[Reactie gewijzigd door CH4OS op 21 maart 2019 18:33]

Oh wauw, facebook moet echt een keer orde op zaken gaan stellen.
"Het ging om interne toegang tot wachtwoorden tot 2012."
Dat hebben ze dus 7 jaar geleden al gedaan.
Het gaat over een situatie tot 2012. Dat is 7 jaar geleden. Hoe moeten ze orde op zaken stellen over iets wat jaren geleden gebeurde? Met terugwerkende kracht fouten in processen van jaren geleden ontdekken gaat lastig als er toen geen goed toezicht op was.

edit:
In het artikel van Tweakers staat dat het gaat om een situatie tot 2012. Dat kan betekenen dat het tot 2012 mis ging, of vanuit het heden tot in 2012 Het originele artikel van Brian Krebs staat dat het ging om een perdiode die terug ging tot 2012. Vandaar de verwarring.

[Reactie gewijzigd door kodak op 21 maart 2019 20:16]

Als je nou eens leest? Van 2012 tot afgelopen januari.
Je hebt gelijk wat betreft de periode. Helaas is het artikel van Tweakers op twee manieren te lezen. Er staat namelijk alleen een datum van ontdekken van de fout en een datum tot wanneer de fout zou hebben bestaan. Maar het moment van ontdekken is niet automatisch het moment waarop het nog mogelijk zou zijn.

Los van dit punt blijf ik wel bij mijn vraag hoe Facebook dan orde op zaken moet stellen over iets wat jaren geleden begon. Het minste wat ze nu kunnen doen over fouten die ver in het verleden begonnen zijn is die fouten nu te ontdekken. En verhelpen. Dat is juist wat ze doen. Ze zijn orde op zaken aan het stellen. Dan is een opmerking dat ze orde op zaken moeten stellen erg makkelijk.
Het minste wat ze nu kunnen doen over fouten die ver in het verleden begonnen zijn is die fouten nu te ontdekken. En verhelpen. Dat is juist wat ze doen. Ze zijn orde op zaken aan het stellen.
Gedwongen omdat Brian Krebs over ze schrijft. Niet omdat ze openheid willen geven en niet omdat ze gebruikers gerust willen stellen of zo. Het enige wat nu enige reactie opgeleverd heeft is dat ze weer eens een keer met de billen bloot gaan in de pers over de privacy van hun klanten.

En het houdt ook niet op. Iedere keer weer komt er weer een nieuw schandaal naar buiten. Hoeveel is er nog? Hebben we nu het grootste deel gehad? Of begint het pas?


(Leesbare wachtwoorden bewaren is ongeveer even slim als de PIN op je pasje schrijven..)
Constant dwingen op basis van geluk dat iemand wil spreken over misstanden lijkt me geen oplossing. Dan zou er eerder onafhankelijk toezicht een volgende stap kunnen zijn waaraan het bedrijf zich dient te verantwoorden. Lijkt me niet eens gek als Facebook er zelf eens mee komt als ze privacy serieus zeggen te menen en er intern toch eerder een keuze is om risico te nemen met de gegevens van gebruikers.
Orde op zaken? Zaken op orde. Het gebruik schijnt nog steeds te groeien. Mark slaapt prima.
Waar mensen werken worden nu eenmaal fouten gemaakt. Dat zal NOOIT veranderen. En dit is dus naar boven gekomen JUIST bij onderzoek van hun eigen (oude) code op dit soort fouten. want het ging zelfs terug tot 2012.. Het is allemaal niet zo simpel als vele tweakers denken.
Dit is toch niet meer 'per ongeluk', en mensen hoeven hun wachtwoorden niet te wijzigen omdat er geen aanwijzingen zijn voor misbruik? Wat een onzin, iedereen waar het wachtwoord daar van instaat zou deze opnieuw moeten instellen. Dan is natuurlijk weer het probleem dat je al deze mensen een bericht moet gaan sturen dat 20.000 facebook medewekers hun wachtwoord hebben kunnen zien.
“Dan is natuurlijk weer het probleem dat je al deze mensen een bericht moet gaan sturen dat 20.000 facebook medewekers hun wachtwoord hebben kunnen zien.”

Volgens het artikel is dat echter wel wat ze gaan doen. En terecht.
Inderdaad,
Het bedrijf zou geen aanwijzingen hebben voor misbruik en benadrukt dat deze alleen intern in te zien waren.
waarom zou ik een random facebook medewerker moeten vertrouwen? Als ik daar een wachtwoord zou hebben, zou ik dat zeker wijzigen.
Hoezo is dat een facebook medewerker mijn wachtwoord kent geen veiligheids risico??? Dat ze niet aanraden om je wachtwoord te veranderen overal is bizar gewoon!
Wie kent je wachtwoord dan?
Staat er letterlijk, duizenden medewerkers van facebook hebben de wachtwoorden in kunnen zien.
"Kunnen" zien.
Wil niet zeggen dat ze die ook in hebben gezien, laat staan dat een facebook medewerker specifiek jou wachtwoord ziet laat staan weet tussen miljarden requests.

Laten we het wel bij feiten houden.
Daarom heet het een veiligheidsRISICO, en dat is het ook zeker.
Lol jij vind dat duizenden mensen je wachtwoord in plain tekst konden zien geen veiligheids risico? En ook helemaal geen reden tot advies voor het veranderen van wachtwoorden? Dan vertrouw jij facebook werknemers wel heel erg.
Vroegah had je zo'n social site: cu2. Als je daar je wachtwoord opvraagt, dan krijg je het gewoon plaintext opgestuurd. Lijkt wel normaal dat hashes niet zo normaal zijn.

[Reactie gewijzigd door Trommelrem op 21 maart 2019 18:40]

Dat was toen de norm uit gebruiksvriendelijkheid, tegenwoordig weten we beter.
In 2014:
Hoi [REMOVED],
Je wachtwoord is opgevraagd voor CU2. Als je dit niet zelf hebt gedaan, wees dan niet ongerust, alleen jij krijgt dit mailtje.
Het password voor [REMOVED] is [REMOVED].
Met vriendelijke groet,
Het CU2 team
www.cu2.nl
Dat was 5 jaar geleden echt niet de norm uit gebruiksvriendelijkheid maar gewoon slecht.

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Microsoft Xbox One S All-Digital Edition LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Sony PlayStation 5

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True