Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Facebook logde ook wachtwoorden van miljoenen Instagram-accounts in plain text

Facebook heeft ook wachtwoorden van miljoenen Instagram-gebruikers in plain text gelogd en opgeslagen op interne servers. Gebruikers worden op de hoogte gesteld. Eerder maakte het bedrijf al bekend dat dit gebeurde bij honderden miljoenen Facebook-accounts.

Facebook heeft zijn nieuwsbericht van maart een update gegeven. Daarin staat nu dat er logs zijn gevonden met Instagram-wachtwoorden in een leesbaar formaat. Facebook schat dat het gaat om wachtwoorden van 'miljoenen' gebruikers.

Als het wachtwoord van een gebruiker in plain text was opgeslagen, krijgt die gebruiker daar nu een melding van, zegt Facebook. Volgens Facebook heeft eigen onderzoek uitgewezen dat de wachtwoorden niet intern zijn misbruikt en dat er ook geen ongeoorloofde toegang is geweest.

Eind maart bracht Facebook naar buiten dat het jarenlang wachtwoorden van tweehonderd miljoen tot mogelijk zeshonderd miljoen gebruikers in platte tekst heeft gelogd en opgeslagen op interne servers. Meer dan twintigduizend medewerkers konden die doorzoeken. De onversleutelde opslag gebeurde door een reeks beveiligingsfouten in applicaties die wachtwoorden logde. Dat werd door een anonieme Facebook-medewerker naar buiten gebracht, waarna Facebook dat bevestigde. Ook toen zei Facebook geen aanwijzingen gevonden te hebben voor misbruik.

Door Julian Huijbregts

Nieuwsredacteur

18-04-2019 • 20:10

111 Linkedin Google+

Reacties (111)

Wijzig sortering
Oeps, they did it again.

- nieuws: Facebook vergaarde 'onbedoeld' mailcontacten van 1,5 miljoen gebruikers
- nieuws: Facebook vroeg sommige nieuwe gebruikers om wachtwoord van hun e-mail...
- nieuws: Britse onderzoekscommissie vergelijkt Facebook met 'digitale gangster'
- nieuws: Facebook betaalt gebruikers voor toegang tot smartphonedata via vpn-app
- nieuws: Beveiligingsbedrijf: data Facebook-gebruikers stond onbeveiligd op AW...
- nieuws: Facebook klaagt Oekraïens bedrijf aan vanwege stelen gebruikersdata
- nieuws: 'Facebook vermoedde wanpraktijken Cambridge Analytica voordat het nie...
- nieuws: Facebook logde wachtwoorden honderden miljoenen gebruikers in plain text
- nieuws: 'FTC gaat Facebook recordboete opleggen wegens privacyschendingen'

Allemaal 'onbedoelde' foutjes zeker? Als het echt foutjes zijn dan kun je het beter niet meer gebruiken want dan is de kwaliteit zo laag of is het platform zo groot en daardoor onoverzichtelijk voor de ontwikkelaars dat er nog foutjes zullen zijn. En als het geen foutjes waren dan lijkt me dat nog meer reden om ermee te stoppen ;-)

En wat zegt FB in het geval we vinden dat ze toch wat veel info verzamelen: nieuws: Facebook gaat in beroep tegen beperking dataverzameling in Duitsland

Mark Zuckerberg ging van 2019 toch het jaar maken van het debat over de invloed van tech op onze samenleving?
Onbedoeld en met welke eventuele intentie of niet, ik ben blij dat ik, op Whatsapp na, weg ben van Facebook. Ik kan me haast niet voorstellen dat na al dit nieuws er nog mensen zijn die vertrouwen hebben dat dit goedkomt. Eerlijk is eerlijk, veel andere grote bedrijven zijn ook niet veel beter (Google, Microsoft), maar Facebook lijkt het voortouw te nemen in hoeverre privacy met voeten getreed kan worden.

Zijn er eigenlijk nog wel Tweakers die (actief) op Facebook zitten? Misschien een interessant voor Tweakers om een poll te houden ...
Ja, ik ben daar nog wel op. Actief kan ik me niet echt noemen, al post ik zo af en toe iets. Ik vind het wel grappig om te zien waar kennissen en vrienden mee bezig zijn en ik zit in een paar groepen, maar bij het posten hou ik er rekening mee dat de hele wereld het ziet. Ik zet er dan dus ook alleen dingen op die ik niet te verbergen heb.

Ik ben in mijn accounts altijd volledig herkenbaar, zowel hier op tweakers als op fb, instagram, twitter, github en waar ik ook maar een account heb. Dat doe ik om twee redenen:

1) Door volledig herkenbaar te zijn dwing ik mezelf tot fatsoenlijke reacties; als ik me achter een onherkenbare accountnaam verschuil kan ik maar wat roepen zonder directe consequenties.

2) Ik ga er altijd van uit dat mijn informatie niet veilig is bij online partijen en ik zal er dus ook nooit informatie stallen waarvan ik wil dat die geheim blijft. Compromitterende foto's (denk dickpics) van mij zul je dus niet vinden, want die máák ik al niet eens. Ten eerste omdat ik daar geen behoefte aan heb, maar vooral omdat een digitale foto geheid doorgestuurd wordt naar een online opslagdienst waarna ik er geen controle meer over heb.
Waarschijnlijk nog genoeg op WhatsApp (aangezien je non-Tweakers daar nauwelijks af krijgt).

FB zelf heb ik geloof ik nog wel een aantal Tweakers zien noemen dat ze daar gebruik van maken of Instagram, maar veel minder dan het gemiddelde.
Ik, maar ik zet er geen dingen op waarvan ik spijt zou kunnen krijgen als iemand ze onbedoeld kan lezen...
Mijn politieke voorkeur ga je er ook niet letterlijk uit halen :-)
Let op mensen we maken ons druk om China, maar zou me drukker maken over de US
Correctie: we maken ons druk om landen, laten we ons druk maken over bedrijven.

De Nederlandse overheid destijds had ook niet superveel te maken met de VOC, dat was een bedrijf. Later pas werd de VOC genationaliseerd.

Op dit moment is er een soort digitale kolonisatie bezig vanuit met name de VS. Laten we zien waar dat straks naartoe gaat...
Correctie: we maken ons druk om landen, laten we ons druk maken over bedrijven.

De Nederlandse overheid destijds had ook niet superveel te maken met de VOC, dat was een bedrijf. Later pas werd de VOC genationaliseerd.

Op dit moment is er een soort digitale kolonisatie bezig vanuit met name de VS. Laten we zien waar dat straks naartoe gaat...
Ik zie Facebook geen miljoenen mensen afmaken voor hun eigen gewin.

Ik zie de CIA of VS (of de EU of China of Rusland) wel miljoenen mensen afmaken in het belang van de paar leiders in die overheden.

Kijk naar de geschiedenis; het zijn toch echt overheden die veruit het beste zijn in mensen uitroeien. Bijna nooit bedrijven.

Even afgezien van oorlogen (zo goed als altijd ingezet door overheden), even een lijstje genocides door overheden: https://en.wikipedia.org/...f_genocides_by_death_toll


Ik ben dan ook veel banger voor overheden dan voor bedrijven. De drang om Facebook (en het internet in het algemeen) te censureren en vrijheid van meningsuiting daarmee te beperken komt dan ook voornamelijk van druk vanuit overheden op bedrijven en niet omgekeerd. De EU is hier heel eng in.

Het internet is groter dan Facebook en de overheid gaat dan ook veel verder dan druk zetten op alleen Facebook. Websites blokkades zijn aan de orde van de dag in alle Westerse landen, inclusief Nederland. Massa burger-spionage door overheden (inclusief Nederland via de "sleepwet") is na Snowden volledig gelegaliseerd. Google filtering op basis van locatie door druk vanuit overheden is in de Westerse wereld inmiddels de normaalste zaak van de wereld (o.a. "het recht vergeten te worden" in de EU) en ga zo maar door.

Dat m'n Facebook wachtwoord gelekt zou zijn is nog wel de minste van m'n angsten.

[Reactie gewijzigd door GeoBeo op 19 april 2019 09:11]

Het gaat niet om mensen afmaken, het gaat om ethiek en het feit dat onze ethische opvattingen continu veranderen. In de tijd van de VOC was wat ze deden helemaal niet zo raar en verkeerd. Veel mensen vonden het prima, een meerderheid gewoon.

Natuurlijk waren er altijd wel mensen en politici die juist wel tegen waren en protesteerden, die vonden dat slavernij niet kon enzo, en dat dat koloniseren ook nergens op sloeg.

Nu gebeurt precies hetzelfde: mensen en de meeste politici vinden het allemaal wel prima, maar een kleine groep mensen vindt dat het niet kan wat Google/Facebook doen...

Alleen wij zien het niet, omdat ons basisniveau van ethiek best wel leidend is in hoe we de wereld zien. Over 100 jaar zou het zomaar kunnen dat we het echt niet meer kunnen om dieren te kweken/fokken voor ons eten als er dan betere alternatieven zijn.
Gefeliciteerd, dit bericht levert je 2 Chinese sociale credits op. Je mag weer van het openbaar vervoer gebruik maken
Het zou bijna een drinking game kunnen worden :+
Laten we dat maar niet doen, dan zou het wel eens druk kunnen gaan worden in het ziekenhuis met comazuipers.
Nou... De lijstjes voor Google en Apple zijn toch zeker niet korter. Ik noem als voorbeeld Apple omdat het er mooi op lijkt; de encryptiesleutel van filevault als plaintext in de logs verdiende ook geen schoonheidsprijs en was ook gewoon menselijk falen.

Hou het er maar op dat falen menselijk is en dat we het allemaal doen. Kwade opzet, tja, ik denk dat het niet zo zwart/wit is. Een bedrijf bestaat tenslotte vooral uit de mensen die er werken.
Grappig hoe je zo veel '-1' krijgt omdat je even Apple vermeld.
Ik kijk nu al een tijdje de filmpjes van Louis Rossmann en Jessa Jones. Ik snap niet hoe mensen zo'n producten nog kopen.
Maar dat er zitten ook nog mensen op google en facebook en twitter. Het zal bij iedereen wel iets misgaan.
Ik vind dit echt verbazingwekkend. Dit kunnen toch geen "foutjes" meer zijn. Hoe kan je hier als bedrijf zo makkelijk mee weg komen. Ik hoop echt dat dit bedrijf "perongeluk" al zijn servers wist. Gelijk een goede reden om WhatsApp en Facebook Messenger achterwege te laten.
Dit is schandalig...een internet gigant die wachtwoorden in plain text bij houdt...onvergefelijk voor mij.

"heeft eigen onderzoek uitgewezen dat de wachtwoorden niet intern zijn misbruikt en dat er ook geen ongeoorloofde toegang is geweest."

Zeer transparant...eigen onderzoek...dit smeekt om een externe audit... als het anders was geweest zouden ze het dan vermelden? Of is dit al meer dan genoeg imagoschade?

Het feit dat een ex FB mederwerker dit naar buiten bracht ipv Facebook zelf zegt al voldoende.

[Reactie gewijzigd door Clemens123 op 18 april 2019 20:19]

Ik kan me geen bedrijf voorstellen waar dit niet gebeurt. In feite zijn log files de makkelijkste manier om informatie te vergaren want er komt altijd wel iets per ongeluk in de logs terecht. Hiermee praat ik het niet goed... Het is zelfs 1 vd aandachtspunten waar ik me mee bezig hou maar is in de praktijk niet altijd even makkelijk te voorkomen
Wachtwoorden worden normaal client-side gehashed...tenminste dat is good practice (tesamen met een salt die in clear text verstuurd wordt).
Dit maakt het ONMOGELIJK dat wachtwoorden ergens in plain text terechtkomen op servers van facebook, het wachtwoord wordt zo namelijk nooit in plain text verstuurd door de client.
Dus het feit dat wachtwoorden in plain text er zijn...betekent dat het doorgeven van het wachwoord ongelofelijk amateuristisch gebeurd is en dit gedurerende een periode dat facebook al huge was, kijkende naar het aantal wachtwoorden waarover het gaat. Dit is gewoon schandalig.

Als salted hashes voor medewerkers in log bestanden of wat dan ook beschikbaar waren tot daar aan toe...maar plain wachtwoorden dit kan gewoon niet bij een serieus geleide wereldspeler in de markt van internetbedrijven.

Ik ben zelf redelijk relaxed wat betreft content die gebruikers posten en wat Facebook er mee aanvangt (doorverkopen, gepersonaliseerde reclame, etc.): iedereen kiest zelfs wat hij post, en Facebook is een dienst die op een of andere manier geld moet proberen maken. Waar je daar de morele grens legt over wat kan en niet kan...is een hele moelijke discussie, en iets waar ik vaak veel hypocrisie zie, bv. een Amerikaanse staat die het aanklaagt maar een NSA heeft die vele malen erger is. Maar hier gaat het over iets wat gewoon weg niet zou mogen. Wachtwoorden van anderen bijhouden in plain text zou imho rechtstreeks (en niet enkel via een of andere algemene gegevensbeschermingswet) verboden moeten worden, en dit wereldwijd.

[Reactie gewijzigd door Clemens123 op 18 april 2019 23:01]

Als je wachtwoorden client side hashed moet je die wel nog eens hashen voor je deze opslaat, anders is het hebben van de hash hetzelfde als het hebben van het wachtwoord. Maw, als je die hash vindt in een log kun je deze gebruiken om aan te melden.

Het vermijd natuurlijk wel dat het wachtwoord kan getest worden op andere sites.
Het vermijd natuurlijk wel dat het wachtwoord kan getest worden op andere sites.
En dit is precies waarom het wel is gelogd. Niemand kan mij ervan overtuigen dat dit "per ongeluk" is.

Waar we wel over kunnen speculeren is, wie heeft het erin laten bouwen. Persoonlijk vind ik het aannemelijk als dit door de FBI/CIA of welke overheidsorganisatie dan ook is laten doen. Zo hebben ze een flinke database aan wachtwoorden dat ze kunnen gebruiken om in andere accounts van iemand dat ze volgen in te loggen. Of als ze hardware in beslag nemen met beveiliging, kunnen ze ook geluk hebben met zo'n database. Zelfs als het wachtwoord niet direct werkt, kun je wel zien wat voor soort wachtwoorden iemand gebruikt en zo je bruteforce erop aanpassen.
Wachtwoorden worden serverside pas gehashed, niet clientside. De gebruiker moet immers het wachtwoord plaintext invoeren, waarna het richting server gaat.. daar gebeurt alles gehashed, met salts, etc.

[Reactie gewijzigd door deco1974 op 19 april 2019 07:36]

Ik doe toch echt voor al mijn applicicaties OOK cliënt-side hashing. Dit is voor mij een stukje service naar de gebruikers zodat het originele wachtwoord nooit in logfiles of man-in-the-middle attacks zichtbaar is.

Het is dan ook geen echte beveiliging want een hacker kan de clientside hash onderscheppen en vervolgens met de hash inloggen, maar het oorspronkelijke wachtwoord kan niet achterhaald worden. Uiteraard word er serverside opnieuw gehashed met brult.

Als je geïnteresseerd bent, CryptoJS gebruik ik als library.
En dat is inderdaad best practice. In het geval van Facebook en merendeel van alle websites gebeurt dat niet. Zojuist getest bij FB.. wachtwoord wordt plaintext naar server gepost, even SSL buiten beschouwing gehouden, want verkeer wordt al met SSL versleuteld. Niet dat het onkraakbaar is, maar daarmee wordt een man-in-the-middle attack al een stuk lastiger.
Ik heb het over een heel ander probleem en zelfs nog veel groter...

Leuk dat dit in het nieuws komt vanwege het persoonlijke kantje maar ik vind het veel erger dat logfiles zomaar toegankelijk zijn en als dit met een klein stukje van de gebruikers populatie gebeurt ik me hart vast hou als ik nadenk over zogeheten "non personal accounts" die een veel groter gevaar met zich meebrengen
Wat is het nut van logs of informatie als niemand in het bedrijf ze kan lezen (er is hier geen data naar buiten gelekt) ? Ik snap je punt niet echt en weet niet over welk probleem je het hebt, je legt het alleszins heel vaag uit.

Het probleem hier is de te persoonlijke inhoud van de informatie, met name plain text wachtwoorden, en dat kan echt wel niet, vooral ook omdat deze al nooit naar FB verstuurd zouden mogen worden in de eerste plaats.

[Reactie gewijzigd door Clemens123 op 19 april 2019 00:30]

Nee, de wachtwoorden werden niet in plaintext bijgehouden. Die werden gelogd, en logging is juist belangrijk voor een internetgigant als Facebook om misbruik te detecteren. Dat daar wachtwoorden tussen zaten is uiteraard een groot probleem, maar dit is echt een "klassiek" ongelukje wat je bij veel bedrijven, klein en groot, ziet gebeuren.
Het is wel gewoon best practice om wachtwoorden niet te loggen.
Onderzoek dat natuurlijk pas plaatsvindt na een anoniem lek.
Volgens Facebook heeft eigen onderzoek uitgewezen dat de wachtwoorden niet intern zijn misbruikt en dat er ook geen ongeoorloofde toegang is geweest.
Aldus de slager die zijn eigen vlees keurt.
De imagoschade voor Facebook blijft maar doorgaan. Wonderlijk dat dat toch weinig invloed op de gemiddelde gebruiker lijkt te hebben
Omdat kennissen/vrienden/familie er meestal ook op zitten, dan kom je in een informatiegat.
Een hoop mensen vinden dat te eng.
Dat, maar anders dan op Tweakers wordt het amper in het nieuws gebracht, alsof Facebook alle nieuwssites in zijn broekzak heeft zitten...

En daarnaast wat de gevolgen zijn; paar dagen ook mijn buurvrouw dit mogen uitleggen nadat zij net zoals velen anderen gelijk riep "achja ik heb toch niks te verbergen".
Dat komt meer omdat het de meeste mensen werkelijk niets kan schelen. Dat wachtwoorden niet in plaintext opgeslagen moeten worden is de meeste mensen niet bekend.
Voordat het ze iets kan schelen moeten ze het eerst weten. De gemiddelde mens slaat vast Tweakers over en ook het nu.nl tech nieuws, dus velen zullen het niet eens weten.

Pas als ze het weten, zal het ze alsnog niets uitmaken, daarin heb je vast gelijkt.
Sinds ik Facebook verwijderd heb geniet ik juist van dat informatie gat.
De buurman die een schutting wil winnen, een oude vriendin die een oma feliciteert, een tante die een anti anti-zwartepiet-pagina heeft geliked.
Ik mis 't allemaal O+
Welcome to the club of those who took the red pill :*) 8-)
Je kan ook instellen om die mensen niet meer te volgen :-)
Rapporteren van die onzin hielp niet, dat is al tijdje duidelijk, die mensen negeren helpt wel :-)
Welcome to the bright side. Ik heb Facebook in 2013 de deur uitgegooid. Wat. Een. Verademing.
Wat waren jullie dan allemaal on de invloed van Facebook. Ik ben ook weggegaan maar om nou te zeggen dat mijn leven daardoor veranderd is, nee. Kan je me misschien uitleggen waarom het leven zoveel beter is zonder Facebook? Wat is precies de verademing? Vond je het wellicht moeilijk om niet elke paar minuten Facebook te kijken? Ik ken die mensen, dus dat kan best. Meestal zijn dat niet de mensen die weggegaan zijn.

Eerlijke vraag overigens. Ik lees zo vaak dingen als "Wat. Een. Verademing." Hoe slecht was het leven dan terwijl ze nog wel een FB account hadden? Snap het werkelijk niet. Ik vond FB altijd al wat vervelend, repetitief en saai en mis het niet. Maar een verademing? Waarom zou het?
Ik had zelf de intentie om fb weg te gooien als m'n huis klaar is met bouwen (er is een facebook groep voor de mensen in het project).

Ik heb echter af en toe mijn tijd genomen om alle interesses van facebook te verwijderen (onder advertenties).

Als ik nu nog ooit naar facebook ga krijg ik vaak iets van 4 posts te zien, vaak nog dubbele ook. Doordat er geen ads ingeladen worden kan ik ook niet meer posts zien! Ik keek al niet veel op facebook, maar nu zie ik echt bijna niets meer.
Ik spendeerde te veel tijd aan het bijhouden van allerlei zaken die gebeurde. Nieuwe groep. Nieuwe likes. Nieuwe foto's. En ik werd er eigenlijk niet zo veel wijzer van. Toen ik er mee ophield behield ik wel de contacten die ik wilde hebben, maar spendeerde geen 2 uur per dag meer met het staren naar m'n scherm met facebook open.
Het scherm schreeuwde voor mij, met wat m'n 'vrienden' aan het doen waren, plus de advertenties.
Dat niet meer hebben was voor mij echt een verademing, omdat ik blijkbaar toch wat verslaafd was.
Waarom reageer je zo agressief op mensen die zich beter voelen zonder Facebook? Zo spannend is die mededeling van anderen toch niet zou je denken. Wat maakt je zo emotioneel als iemand geen facebook wenst te gebruiken en dat aangeeft?
Informatie gat?
Als je erin gelooft, dat je niet zonder kan, wel ja.

En anders ben ik al jaren verzwolgen door mijn informatie gat. ;)
Ik heb geen Facebook, whatsapp en Instagram meer en kan je vertellen dat ik niets mis . Ik denk zelfs, zonder te overdrijven, dat de kwaliteit van leven beter is geworden. Echt, ik heb ook echt moeite moeten doen om alles te verwijderen, post voor post alles "gedelete" maar het is echt een verademing. Geen zuckerbitch meer voor mij, en de groep om mij heen is groeiende die hetzelfde doet. Dat gevangen gevoel wat jij beschrijft, bang Iets te missen...je gaat niks missen, echt niet
Voor de meeste mensen maakt het niet uit, zolang ze maar hun "dingetjes" op facebook kunnen zetten.
Het is een kwalijke zaak dat wachtwooren in plain text worden opgeslagen én door veel medewerkers bekeken kunnen worden. Ik sta al enige tijd op het punt om mijn profiel te verwijderen, maar ik wacht al die tijd op de 'clear history' tool van Facebook om mijn profiel daadwerkelijk te laten verwijderen. Helaas is de implementatie van die tool weer uitgesteld, in ieder geval tot ergens later in dit jaar.

Tot de tijd dat die tool beschikbaar komt, blijft mijn account actief, maar doe ik er niets meer mee. Via Pihole blokkeer ik zo veel als mogelijk al het verkeer wat met Facebook te maken heeft, inclusief Whatsapp en Instagram.
;)
En zou houden ze je aan het lijntje. Als je er vanaf wilt, moet je dat gewoon doen, en niet wachten tot FB je het zetje in de rug EN de tools geeft.
Ze worden niet zo 'opgeslagen', ik denk dat het db en auth-design wel ok is. Alleen heeft ergens *iemand* een log-functie gemaakt die bijvoorbeeld alle POST vars in een text-file dumpt. Ja, als je die log regel laat staan op productie, dan krijg je dit soort ellende.
Niet wachten. Als het er ooit komt, dan zal dat enkel toelaten om de data te wissen die je bewust aan FB hebt gegeven. En dat is data waar FB cru gesteld geen interesse in heeft. De data die ze verkrijgen door het vergaren (of stelen) en combineren van data zonder dat je het weet, zullen ze nooit wissen. Nooit. Echt nooit. En ze zullen dat trouwens net zo hard blijven doen wanneer je je profiel verwijderd hebt.
Grotendeel van mensen lezen niet eens deze artikelen. Ze hebben totaal geen idee.

Ik sprak vorige week iemand en ging even over instagram. Ze zette haar instagram op privé omdat ze schrik had dat ze gehackt zou worden. Ik legde haar uit dat dat totaal niets uit maakt en vroeg of haar paswoord overal hetzelfde was, facebook, instagram en ook haar mail. Ze zei ja. Uitleg gegeven waarom haar email zeker altijd uniek moet zijn, ivm paswoord recovery. Toen kreeg ze schrik nadat ik meer uitleg gaf, als ooit een account lekt met haar email en paswoord, dat ze alles kunnen "afnemen" en bekijken. Dus dat ze dat maar best uniek maakt.

Zo zie je maar hoe de gemiddelde persoon is. Die snappen er niets van hoe iets in zn werk gaat.
Jup...Ze zouden dit volgens mij ook op school moeten aanleren aan jonge kinderen die het internet van vandaag leren gebruiken: aanleren hoe goede wachtwoorden te kiezen, passwoordmanagers gebruiken, privacy bespreken, etc.
Het punt is dat je heel moeilijk internetveiligheid kan laten leren door iemand die er niets van gegeten heeft.
En ja Facebook is zo handig dan heb je honderden (zogenaamde) vrienden, en ja dat is zo leuk, ook al zie je zo goed als geen een in het echt ziet, en ja handig om foto's mee te delen. sarcasme

Het trieste is dat bijna niemand stopt met gebruiken van Facebook omdat het erg verslavend werkt, het is nu de grootse massa verslaving die er nu is, er zijn in geschiedenis nog nooit zo veel mensen verslaaft geweest een een ding.

https://www.rtlnieuws.nl/...ook-je-bent-niet-de-enige
Ik had het over Faxebook, en met "er zijn in geschiedenis nog nooit zo veel mensen verslaaft geweest een een ding" had ik het over Facebook gebruikers natuurlijk die er aan verslaaft zijn, en dat zijn er VELE honderden miljoenen.
Een constante dwang om iets te doen, zelfs als je het eigenlijk niet wilt doen en je sociale leven er door achteruit gaat.
Ten eerste ben ik niet degene die erover was begonnen dus ik heb niets vastgesteld. Ik heb geen studie gedaan om diagnoses te stellen.

Maar ik kan vrij zeker zeggen dat er vele miljoenen gebruikers verslaafd zijn.Van de 2.7 miljard actieve gebruikers. Dat zou dus 10% van alle gebruikers zijn en dus 90% gewone gebruikers.
Potverdrie, zoveelste beveiligingsfail van Facebook. Ik heb me al een aantal maanden uitgeschreven, maar ontvang dus ook geen berichten meer bij dit soort missers. Updates via e-mail heb ik tot op heden niet ontvangen.

Ben een beetje klaar met al die loze beloftes en excuses. Iemand opgevallen dat nagenoeg ALLE reacties van Facebook op beveiligingsproblemen iets van een excuus bevatten? Alles gaat "per ongeluk", ook verwijtbare punten als wachtwoorden in plain text opslaan. Snap goed dat hun gebruikersaantallen teruglopen.

[Reactie gewijzigd door tobiasvs op 18 april 2019 20:19]

Had je dan een reactie verwacht in de trend van "we hebben het express gedaan suckers!"? Als je als bedrijf een fout maakt dat lijkt me het normaal er redelijk dat je je daarover verontschuldigt.
Ik snap dat ze die reactie niet geven, en natuurlijk is het niet meer dan normaal dan je excuses aanbieden als je een fout maakt. Maar er bestaat een verschil tussen zelf een melding maken als je er als bedrijf achter komt, of een ex-medewerker laten melden en het vervolgens als update van een maand oud persbericht de wereld in brengen. En dan kan je menselijke foutjes maken, of zowat de basisregel van beveiliging schenden. Die wachtwoorden hadden gewoon nooit als plain text opgeslagen mogen worden, ook niet als tussenproduct.

Ik zou niet weten of het echt een foutje betrof, maar gezien de indrukwekkende lijst van hierboven zou je ondertussen haast gaan denken van niet.

[Reactie gewijzigd door tobiasvs op 18 april 2019 21:16]

Zuckers voor jou he! 8-)
|:(
Je kunt als bedrijf tegenwoordig toch wel ff gaan CHECKEN of je puppets ook zo dom zijn geweest om plain text wachtwoorden op te slaan?
Gewoon, even naar de database, even je ogen gebruiken, verstand gebruiken EN VERANDER HET!

Facebook mag van mij wel een miljarden boete hiervoor krijgen, ongeacht of ze er zelf mee naar voren kwamen en of er geen misbruik van gemaakt is.

Dit soort nieuws maakt me steeds kwader, maar gelukkig gebruik ik geen facebook-gerelateerde meuk.
Even ter (kleine) nuance: het gaat hier (wederom) om logging. Dus niet om wachtwoorden die ongehashed in de database staan, dat staan ze wel degelijk. Maar de inlogpogingen worden dus gelogd waarbij het wachtwoord niet gecensureerd wordt. Rookie-mistake op het gebied van logging, maar niet iets wat je aan de database kunt afzien.
Dit is schandalig...een internet gigant die wachtwoorden in plain text bij houdt.
En Firefox en Chrome idem dito, als ik het me goed herinner.
Er wordt vermeld
Because we know that people may share, reuse or have their passwords stolen, we’ve built security measures to help protect people’s accounts ....
Ik snap dat login acties gelogged worden om vreemde activiteiten op te kunnen sporen en zo nodig bij een vreemde login poging, 10:01 inloggen in Nederland, 10:05 login vanuit India, bij de login poging vanuit India een 2fa authenticatie te vragen via bijvoorbeeld email. Super !

Er wordt echter niet uitgelegd waarom in eerste aanleg een plain text wachtwoord überhaupt wordt opgeslagen in dat log, daar het wachtwoord zelf geen onderdeel uitmaakt van het detecteren van vreemde inlogpogingen zou ik graag in zo een verklaring lezen wat de beweegreden was dat dat gelogd werd.
Logisch toch? Je logt alle functie-aanroepen inclusief parameters. Waaronder dus het wachtwoord. De juiste manier is om parameters alleen op whitelisting-basis te loggen, of in ieder geval een check op argument-namen te doen om zo password en dergelijke eruit te filteren.

Rookie-mistake als je een logging-systeem toe gaan passen. Van Facebook zou je beter mogen verwachten, maar ik deed het eigenlijk niet...
Nummer 2 vandaag op Tnet alleen al...

En dan te bedenken dat dit kwa security incidenten nog maar het topje van de ijsberg is omdat het gros intern blijft, of zelfs niet uitkomt.

[Reactie gewijzigd door Yalopa op 18 april 2019 20:23]

Hoe vaak is Facebook al wel niet in het nieuws geweest de laatste tijd vanwege privacyschandalen?
Google, Amazon en zelfs bedrijven als Cheetah Mobile zijn niets vergeleken met waar Facebook mee bezig is......

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Microsoft Xbox One S All-Digital Edition LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Nintendo

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True