Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Facebook logde ook wachtwoorden van miljoenen Instagram-accounts in plain text

Facebook heeft ook wachtwoorden van miljoenen Instagram-gebruikers in plain text gelogd en opgeslagen op interne servers. Gebruikers worden op de hoogte gesteld. Eerder maakte het bedrijf al bekend dat dit gebeurde bij honderden miljoenen Facebook-accounts.

Facebook heeft zijn nieuwsbericht van maart een update gegeven. Daarin staat nu dat er logs zijn gevonden met Instagram-wachtwoorden in een leesbaar formaat. Facebook schat dat het gaat om wachtwoorden van 'miljoenen' gebruikers.

Als het wachtwoord van een gebruiker in plain text was opgeslagen, krijgt die gebruiker daar nu een melding van, zegt Facebook. Volgens Facebook heeft eigen onderzoek uitgewezen dat de wachtwoorden niet intern zijn misbruikt en dat er ook geen ongeoorloofde toegang is geweest.

Eind maart bracht Facebook naar buiten dat het jarenlang wachtwoorden van tweehonderd miljoen tot mogelijk zeshonderd miljoen gebruikers in platte tekst heeft gelogd en opgeslagen op interne servers. Meer dan twintigduizend medewerkers konden die doorzoeken. De onversleutelde opslag gebeurde door een reeks beveiligingsfouten in applicaties die wachtwoorden logde. Dat werd door een anonieme Facebook-medewerker naar buiten gebracht, waarna Facebook dat bevestigde. Ook toen zei Facebook geen aanwijzingen gevonden te hebben voor misbruik.

Door Julian Huijbregts

Nieuwsredacteur

18-04-2019 • 20:10

111 Linkedin Google+

Reacties (111)

Wijzig sortering
Oeps, they did it again.

- nieuws: Facebook vergaarde 'onbedoeld' mailcontacten van 1,5 miljoen gebruikers
- nieuws: Facebook vroeg sommige nieuwe gebruikers om wachtwoord van hun e-mail...
- nieuws: Britse onderzoekscommissie vergelijkt Facebook met 'digitale gangster'
- nieuws: Facebook betaalt gebruikers voor toegang tot smartphonedata via vpn-app
- nieuws: Beveiligingsbedrijf: data Facebook-gebruikers stond onbeveiligd op AW...
- nieuws: Facebook klaagt Oekraïens bedrijf aan vanwege stelen gebruikersdata
- nieuws: 'Facebook vermoedde wanpraktijken Cambridge Analytica voordat het nie...
- nieuws: Facebook logde wachtwoorden honderden miljoenen gebruikers in plain text
- nieuws: 'FTC gaat Facebook recordboete opleggen wegens privacyschendingen'

Allemaal 'onbedoelde' foutjes zeker? Als het echt foutjes zijn dan kun je het beter niet meer gebruiken want dan is de kwaliteit zo laag of is het platform zo groot en daardoor onoverzichtelijk voor de ontwikkelaars dat er nog foutjes zullen zijn. En als het geen foutjes waren dan lijkt me dat nog meer reden om ermee te stoppen ;-)

En wat zegt FB in het geval we vinden dat ze toch wat veel info verzamelen: nieuws: Facebook gaat in beroep tegen beperking dataverzameling in Duitsland

Mark Zuckerberg ging van 2019 toch het jaar maken van het debat over de invloed van tech op onze samenleving?
Ja, ik ben daar nog wel op. Actief kan ik me niet echt noemen, al post ik zo af en toe iets. Ik vind het wel grappig om te zien waar kennissen en vrienden mee bezig zijn en ik zit in een paar groepen, maar bij het posten hou ik er rekening mee dat de hele wereld het ziet. Ik zet er dan dus ook alleen dingen op die ik niet te verbergen heb.

Ik ben in mijn accounts altijd volledig herkenbaar, zowel hier op tweakers als op fb, instagram, twitter, github en waar ik ook maar een account heb. Dat doe ik om twee redenen:

1) Door volledig herkenbaar te zijn dwing ik mezelf tot fatsoenlijke reacties; als ik me achter een onherkenbare accountnaam verschuil kan ik maar wat roepen zonder directe consequenties.

2) Ik ga er altijd van uit dat mijn informatie niet veilig is bij online partijen en ik zal er dus ook nooit informatie stallen waarvan ik wil dat die geheim blijft. Compromitterende foto's (denk dickpics) van mij zul je dus niet vinden, want die máák ik al niet eens. Ten eerste omdat ik daar geen behoefte aan heb, maar vooral omdat een digitale foto geheid doorgestuurd wordt naar een online opslagdienst waarna ik er geen controle meer over heb.
Correctie: we maken ons druk om landen, laten we ons druk maken over bedrijven.

De Nederlandse overheid destijds had ook niet superveel te maken met de VOC, dat was een bedrijf. Later pas werd de VOC genationaliseerd.

Op dit moment is er een soort digitale kolonisatie bezig vanuit met name de VS. Laten we zien waar dat straks naartoe gaat...
Dit is schandalig...een internet gigant die wachtwoorden in plain text bij houdt...onvergefelijk voor mij.

"heeft eigen onderzoek uitgewezen dat de wachtwoorden niet intern zijn misbruikt en dat er ook geen ongeoorloofde toegang is geweest."

Zeer transparant...eigen onderzoek...dit smeekt om een externe audit... als het anders was geweest zouden ze het dan vermelden? Of is dit al meer dan genoeg imagoschade?

Het feit dat een ex FB mederwerker dit naar buiten bracht ipv Facebook zelf zegt al voldoende.

[Reactie gewijzigd door Clemens123 op 18 april 2019 20:19]

Wachtwoorden worden normaal client-side gehashed...tenminste dat is good practice (tesamen met een salt die in clear text verstuurd wordt).
Dit maakt het ONMOGELIJK dat wachtwoorden ergens in plain text terechtkomen op servers van facebook, het wachtwoord wordt zo namelijk nooit in plain text verstuurd door de client.
Dus het feit dat wachtwoorden in plain text er zijn...betekent dat het doorgeven van het wachwoord ongelofelijk amateuristisch gebeurd is en dit gedurerende een periode dat facebook al huge was, kijkende naar het aantal wachtwoorden waarover het gaat. Dit is gewoon schandalig.

Als salted hashes voor medewerkers in log bestanden of wat dan ook beschikbaar waren tot daar aan toe...maar plain wachtwoorden dit kan gewoon niet bij een serieus geleide wereldspeler in de markt van internetbedrijven.

Ik ben zelf redelijk relaxed wat betreft content die gebruikers posten en wat Facebook er mee aanvangt (doorverkopen, gepersonaliseerde reclame, etc.): iedereen kiest zelfs wat hij post, en Facebook is een dienst die op een of andere manier geld moet proberen maken. Waar je daar de morele grens legt over wat kan en niet kan...is een hele moelijke discussie, en iets waar ik vaak veel hypocrisie zie, bv. een Amerikaanse staat die het aanklaagt maar een NSA heeft die vele malen erger is. Maar hier gaat het over iets wat gewoon weg niet zou mogen. Wachtwoorden van anderen bijhouden in plain text zou imho rechtstreeks (en niet enkel via een of andere algemene gegevensbeschermingswet) verboden moeten worden, en dit wereldwijd.

[Reactie gewijzigd door Clemens123 op 18 april 2019 23:01]

Als je wachtwoorden client side hashed moet je die wel nog eens hashen voor je deze opslaat, anders is het hebben van de hash hetzelfde als het hebben van het wachtwoord. Maw, als je die hash vindt in een log kun je deze gebruiken om aan te melden.

Het vermijd natuurlijk wel dat het wachtwoord kan getest worden op andere sites.
Ik doe toch echt voor al mijn applicicaties OOK cliënt-side hashing. Dit is voor mij een stukje service naar de gebruikers zodat het originele wachtwoord nooit in logfiles of man-in-the-middle attacks zichtbaar is.

Het is dan ook geen echte beveiliging want een hacker kan de clientside hash onderscheppen en vervolgens met de hash inloggen, maar het oorspronkelijke wachtwoord kan niet achterhaald worden. Uiteraard word er serverside opnieuw gehashed met brult.

Als je geïnteresseerd bent, CryptoJS gebruik ik als library.
Volgens Facebook heeft eigen onderzoek uitgewezen dat de wachtwoorden niet intern zijn misbruikt en dat er ook geen ongeoorloofde toegang is geweest.
Aldus de slager die zijn eigen vlees keurt.

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Microsoft Xbox One S All-Digital Edition LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Games

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True