Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Ierland onderzoekt of plaintext-wachtwoordopslag Facebook strijdig met gdpr is

De Ierse Data Protection Commission is deze week een onderzoek gestart naar het onbeschermd opslaan van wachtwoorden van zijn gebruikers. In Canada stapt de privacywaakhond naar de rechter wegens privacy-inbreuken door Facebook.

Facebook heeft de Ierse Data Protection Commission ingelicht over het loggen en opslaan in platte tekst van miljoenen wachtwoorden van Facebook- en Instagram-gebruikers. "We zijn deze week een onderzoek gestart met betrekking tot dit probleem om te bepalen of Facebook aan zijn verplichtingen heeft voldaan met betrekking tot relevante waarborgen van de gdpr", schrijft de privacycommissie. Organisaties moeten op basis van artikel 32 lid 1 van die regels opgeslagen persoonsgegevens van ‘passende’ beveiliging voorzien.

Vorige maand maakte Facebook bekend dat de wachtwoorden van honderden miljoenen gebruikers van Facebook, Facebook Lite en Instagram per ongeluk onversleuteld op zijn interne systemen waren opgeslagen. Daardoor konden duizenden medewerkers bij de wachtwoorden. De oorzaak lag bij fouten van applicaties voor het loggen van gegevens.

In Canada concludeert het Office of the Privacy Commissioner of Canada na onderzoek over het Cambridge Analytica-schandaal dat Facebook de privacywet heeft overtreden. De autoriteit noemt dat Facebook ongeoorloofde toegang gaf tot persoonsdata aan apps van derde partijen. Ook ontbrak toestemming van vrienden van vrienden voor gebruik van data. Over het geheel genomen ontbrak het aan voldoende toezicht en verantwoordelijkheid bij het sociale netwerk, luidt de conclusie.

Al in 2009 adviseerde de Canadese privacyautoriteit dat Facebook maatregelen moest nemen. Omdat het sociale netwerk ook nu weer de adviezen naast zich neerlegt en uitkomsten van het onderzoek weerspreekt, stapt de Privacy Commissioner naar de rechter. De autoriteit wil Facebook zo dwingen maatregelen door te voeren.

Door Olaf van Miltenburg

Nieuwscoördinator

25-04-2019 • 18:07

107 Linkedin Google+

Reacties (107)

Wijzig sortering
I hou ervan om 'overtreders' te melden op:
https://plaintextoffenders.com

[Reactie gewijzigd door mredant op 28 april 2019 21:13]

Weer een reden tot nadenken of je Facebook nog zou willen gebruiken. Want het gaat echt niet beter worden.

Zuckerberg zelf probeert de laatste tijd zijn hachje te redden door te schreeuwen en anderen op te roepen dat privacy focus moet zijn. Maar sinds het bestaan van Facebook is dat nooit een prioriteit geweest.

[Reactie gewijzigd door gjmi op 25 april 2019 18:14]

Je wilt niet weten hoeveel websites wachtwoorden encrypted of in plain text opslaan, dus niet hashed. Waarom, omdat veel internetters eigenlijk nog te dom zijn om te poepen. Als zij hun wachtwoord zijn vergeten is het gemakkelijk om per email het wachtwoord opnieuw toe te sturen, dan een complexe procedure waarbij je eerst een email krijgt met daarin een link om een nieuw wachtwoord tweemaal in te voeren.. Dat gaat zo vaak fout, dat bedrijven continue 'klanten' aan de telefoon hebben..

Uiteraard is dat niet goed, maar kleine bedrijven kunnen niet 24/7 de telefoon bemannen.

Nu vind ik de privacy schending bij Facebook van een andere orde, dan die van bijvoorbeeld een webshop. Bij die laatste ben je vaak verplicht die gegevens op te geven voor het verwerken van een bestelling. De informatie welke Facebook van jouw heeft, heb je allemaal zelf gratis gegeven zonder noodzaak daar toe. Je hebt het er over dat Facebook zijn verantwoordelijk moet nemen. Ben ik ook deels met je eens. Maar dat geld ook bezoekers van Facebook..
De informatie welke Facebook van jouw heeft, heb je allemaal zelf gratis gegeven zonder noodzaak daar toe.
Grapjas... FB weet veel meer dan van je dan je bewust deelt... en zelfs als je niets wilt delen.
Sterker nog, ze weten zelfs meer dan de NSA op dat vlak want de NSA is er zelfs tijdelijk mee gestopt en ook met hen deelde je zowel bewust als onbewust alles en ook wat je niet wilde delen. :+

nieuws: 'NSA heeft massale opslag van metadata telefoongesprekken tijdelijk s...

Het gaat om telefoon en SMS maar toch. :D

[Reactie gewijzigd door bazs2000 op 25 april 2019 21:32]

Ik durf haast wel te verwedden dat het iets is dat onder bepaalde voorwaarden de post requests van de wachtwoorden logt. Dus niet de gehashte data in de DB zelf. Het is bijvoorbeeld heel erg handig om een tool zoals Application Insights (Azure) te gebruiken om je applicatie te tracen, en het is met drie klikken geconfigureerd, maar in de standaardinstellingen gaan al je HTTP requests linea recta naar MS. in plain text dus.

[Reactie gewijzigd door __fred__ op 25 april 2019 21:37]

De internetters zijn niet te dom, het zijn de developers. Als developer moet je gewoon weigeren wachtwoorden zo op te slaan.
Toch werkt het twee kanten op. Als de gebruikers maar lang genoeg de ogen sluiten en het dus door de vingers zien dan krijgt Facebook (sorry, ik breng het weer naar het onderwerp) voldoende gegevens in handen om een kwartaalwinst van 13,73 miljard dollar (Q3 2018) te 'genereren'.

Dit is waar wij naar kijken, een bedrijf dat vele miljarden per kwartaal omzet dankzij de handel in data van miljarden mensen (in Q3 2018 logden 2,27 miljard mensen in op Facebook) en die mensen vinden het niet eens erg. Deze mensen zijn allen getuigen geweest van de schandalen, lekken en andere vormen van misbruik en stuk voor stuk zitten ze er nog steeds. Sommigen zijn wakker geworden en gestopt, dit is een druppel op een gloeiende plaat want het is niet zo simpel als je denkt.

Stel dat Facebook morgen omvalt en de 'Facebookers' massaal overstappen naar een andere dienst die vervolgens ook veel geld gaat verdienen aan de verkoop van data. Dan blijven diezelfde mensen daar ook gewoon zitten net zoals zij dit bij Facebook ook deden en begint het verhaal weer van voor af aan.

De internetters zijn in dat opzicht best dom, willens en wetens nemen zij dit risico want zij kennen deze. Het is voldoende in het nieuws geweest, mensen sluiten gewoon hun ogen en vinden het prima. Het maakt niet uit wat je doet of hoe je het onder de aandacht brengt, de internetters staan haast in de rij om hun data af te staan, zolang ze een dienst maar kunnen blijven gebruiken, gratis!

En dit is nog maar Facebook, er zijn talloze bedrijven die dit, net als Facebook, bewust doen en er veel geld mee verdienen. Daar zijn veel internetters zich ook bewust van en toch gebruiken zij deze diensten ook.

Het probleem is alleen, jij en ik zijn ook internetters en ook wij gebruiken andere diensten die hetzelfde verdienmodel erop nahouden en waarom? Het valt bijna niet te voorkomen namelijk, de handel in data is zo groot dat die developer waar jij het over hebt, echt niet zal weigeren die wachtwoorden zo op te slaan, hij wordt er immers steenrijk van.

Edit: Typo. :P

[Reactie gewijzigd door bazs2000 op 25 april 2019 21:27]

Dan gebruik je gewoon het oauth protocol van een andere dienst. Je bent gewoon nalatig als je wachtwoorden opslaat.

https://developers.google.com/identity/protocols/OAuth2
Dat gebruikt facebook al lang. Het probleem is dus dat het allemaal losse projectjes zijn. Maar een goede microservices architectuur zijn hier dus een oplossing voor kunnen zijn.
Uiteindelijk is er dan toch nog steeds een partij die wachtwoorden moet opslaan, anders geen OAuth2 ;)
Wat ook een mogelijkheid is, is om het wachtwoord gebruiken als een echt passwoord. Met m'n wachtwoord word een gekende zin geencrypt. Bij het inloggen word met mijn wachtwoord de message gedecrypt. Resulteert dit in de gekende zin? Login success. Wachtwoord opslag = 0,00... want je slaat enkel een encrypted message op.
Tenzij je iemand ergens die message niet encrypted opslaat.
Je zit nog steeds met eenzelfde probleem.
Dat is precies hoe zo'n beetje elke ontwikkelaar het doet.

Maar dan niet geencrypt, maar gehashed. Dat is sneller en werkt ook maar 1 kant op. Je kunt uit een hash geen wachtwoord meer destileren, maar je kunt wel het ingetypte wachtwoord hashen en vergelijken met de opgeslagen hash. Dit wordt echter ook niet meer als veilig gezien, omdat er grote databases bestaan met hashes en de bijbehorende wachtwoorden. Daarom wordt tegenwoordig aangeraden om er nog een salt naast te gebruiken (een extra stukje tekst wat toegevoegd wordt, zodat hetzelfde wachtwoord bij 2 gebruikers niet dezelfde hash oplevert.
Nu weet ik niet welk bedrijf jij kent dat gebruikers zijn wachtwoord per email opstuurt maat mocht het mij overkomen dan is dat meteen het laatste dat ik met dat bedrijf van doen heb gehad, absoluut ongehoord dat dat heden ten dage nog gebeurd.
Ook complete onzin dat gebruikers dat niet zouden snappen, je krijgt een email, klikt op de link, vult je nieuwe wachtwoord in.
bizzsms.nl stuurde me toevallig vorige week uit het niets een 'wachtwoord vergeten' email waar mijn password gewoon plaintekst instond.

Overigens zelf niet eens op wachtwoord vergeten gedrukt..
Dan moeten alle alarmbellen afgaan. En dit moet gemeld worden.
Nu weet ik niet welk bedrijf jij kent dat gebruikers zijn wachtwoord per email opstuurt maat mocht het mij overkomen dan is dat meteen het laatste dat ik met dat bedrijf van doen heb gehad, absoluut ongehoord dat dat heden ten dage nog gebeurd.
Ook complete onzin dat gebruikers dat niet zouden snappen, je krijgt een email, klikt op de link, vult je nieuwe wachtwoord in.
er is een verschil zoals bij Tobias, jouw wachtwoord opgestuurd of een ander 1 malig wachtwoord opsturen.
je kan inderdaad na klacht en userpogingen een wachtwoord opsturen, omdat de user er maar niet in slaagt om in te loggen of een nieuw paswoord te maken.
Maar dan moet het wel een 1 malig paswoord zijn en een nieuw paswoord niet het echt paswoord.
er is dus geen enkel reden om paswoorden in plain text op te slaan buiten incompetentie.
En incompetentie is geen goede reden overigens.
Ik zeg nergens dat facebook zijn verantwoording moet nemen.
Of ik dat vind....? Ze hadden dat al lang geleden moeten doen. Nu is het te laat.

En de bezoekers? Nee, die moet je beschermen. Niet iedereen kan uit zichzelf begrijpen wat het betekend als je dingen op Facebook zet. Veel mensen zitten er op omdat iedereen er op zit en ze er bij willen horen/ bang zijn iets te missen (ook al zullen vele dat ontkennen) en ze denken niet na wat de consequenties (kunne) zijn.
Zuckerberg zelf probeert de laatste tijd zijn hachje te redden door te schreeuwen en anderen op te roepen dat privacy focus moet zijn.
Hij zei dat wat anders maar omdat FB zijn geld verdient met data is dat natuurlijk een lege kreet. Ik denk overigens wel dat er binnen FB veel aan het veranderen is. Het is echter een gigant die niet makkelijk van koers te wijzigen is.
Wat zei Zuckerberg dan?
Als er geen derde partijen zijn die toegang hebben gekregen tot de wachtwoorden, dan zie ik niet direct in hoe dit een overtreding van de GDPR zou zijn. Naar mijn weten staat er nergens dat je verplicht bent hashing toe te passen, je moet het veilig opslaan. Je mag data in plain-text opslaan. (Of het slim is is een ander verhaal.) De enige vraag is of het "veilig genoeg is" als een flink aantal medewerkers erbij kunnen - maar dat is niet veel anders dan dat een bank of verzekeraar de klantenservice bij aardig wat privégegevens kunnen. De wet stelt niet dat wachtwoorden speciaal zijn o.i.d., dus hoe jammerlijk het ook is: plain-text opslaan van wachtwoorden an sich lijkt me op geen enkele wijze een overtreding van de GDPR... En als het niet uitgelekt is buiten het bedrijf maar enkel intern door medewerkers ingezien heeft kunnen worden, dan denk ik dat ze de wet niet hebben overtreden... We gaan 't zien.

[Reactie gewijzigd door WhatsappHack op 25 april 2019 18:26]

Het kan zeker alsnog een overtreding zijn van de AVG. Het ruime begrip van artikel 32 wordt uitgelegd naar de stand der techniek, de beschikbaarheid van de middelen en het mogelijke risico. Dus ja, plain-text wachtwoorden kunnen wel degelijk een overtreding van de AVG opleveren, ondanks dat nergens expliciet staat beschreven dat het niet mag. Zeker voor een partij als Facebook. Het wordt niet lastig om aan te tonen voor een privacywaakhond dat de gebruikte beveiligingsmaatregelen, het in plain-text op slaan van wachtwoorden, geen adequaat beveilingsniveau waarborgt. Nu is dat natuurlijk het halve verhaal, want nergens in dit artikel wordt duidelijk hoé deze plain-text wachtwoorden uiteindelijk zélf zijn beveiligd.

De volgende passage in het artikel is verontrustender, en duidelijker een schending van de AVG:


''daardoor konden duizenden medewerkers bij de wachtwoorden. De oorzaak lag bij fouten van applicaties voor het loggen van gegevens''

Dit is wel degelijk een directe overtreding van de AVG :)
Aangezien medewerkers toegang hadden tot deze wachtwoorden zonder dat daartoe een noodzaak bestond (met alle risico's van dien). Het maakt hierbij niet direct uit dat dit medewerkers waren. Onder onbevoegden kunnen ook medewerkers vallen. Daarom is voor dit soort organisaties het correct toepassen van 'need to know' principes verplichte kost.

[Reactie gewijzigd door WouterL op 25 april 2019 18:56]

Dit is wel degelijk een directe overtreding van de AVG :)
Dat is een conclusie die je niet kan trekken. (En die de Ierse waakhond ook absoluut niet direct trekt. ;) Ze stellen niet voor niets een onderzoek in, dat houdt in dat ze helemaal niet zeker weten of er uberhaupt sprake is van een overtreding. En de reden daarvoor is denk ik hetgeen ik beschreven heb in mijn post.)

Er hoeft niet per definitie een (permanente) noodzaak te zijn voor medewerkers om ergens bij te kunnen en als de data intern blijft is er veelal geen sprake van ongeoorloofde verwerking. Er staat ook naar mijn weten nergens beschreven dat je wachtwoord encrypted wordt opgeslagen, maar dat even terzijde.

Stellen dat ze schuldig zouden zijn aan een overtreding, wat je hier suggereert, is denk ik erg voorbaring; er wordt zoals gezegd niet voor niets een onderzoek naar ingesteld in plaats van dat er conclusies worden gepresenteerd. En ik ben van mening (en daarin verschillen we zo te zien van mening :)) dat de kans klein is dat de conclusie wordt dat ze een overtreding hebben begaan, mede omdat het "contained" is gebleven. Er was een risico op een lek, maar het is voortijdig opgelost. Als ze al een overtreding hebben begaan, is de kans nog veel kleiner dat door de gang van zaken ze ook daadwerkelijk een probleem gaan krijgen met de lokale waakhond.

Afijn, het is even afwachten. :)
Natuurlijk is dat een beetje gechargeerd. We kennen de feiten niet.

Echter is “Er hoeft niet per definitie een (permanente) noodzaak te zijn voor medewerkers om ergens bij te kunnen en als de data intern blijft is er veelal geen sprake van ongeoorloofde verwerking“ gewoon onwaar. Daar is wel degelijk een noodzaak voor nodig. Zeker bij “gevoelige gegevens”.
Is een wachtwoord dan een persoonsgegeven? Het is in principe niet herleidbaar naar een persoon.
Niet elk wachtwoord, maar ik neem aan wel het wachtwoord van een account die aan een persoon is gelinkt. Een nep account op Facebook mag niet, dus in die zin lijkt het me wel herleidbaar naar het persoon van die account.
Nee! In principe niet. Onder omstandigheden natuurlijk wel. Maar het is wel een middel waarmee je persoonsgegevens veilig stelt, namelijk het profiel :) en dat is nu juist het probleem.
Inderdaad, het niet encrypt opslaan van wachtwoorden kan best wel juridisch aangevochten worden gezien het sowieso een standaard is om login gegevens encrypted op te slaan want niemand mag dat inzien. We weten allemaal wel dat mensen voor meerdere sites een dezelfde login gebruiken en voor je het weet zo bankrekeningen geplunderd kunnen worden.
En bij Facebook geloof ik niet in foutjes. Dit zan van die dingen dat een doel heeft gehad, misschien toch voor scripts die profielen uitlezen voor big data.
En bij Facebook geloof ik niet in foutjes. Dit zan van die dingen dat een doel heeft gehad, misschien toch voor scripts die profielen uitlezen voor big data.
Maar dan schets je een FB die de wachtwoorden van zijn klanten gebruikt? Hoe zie je je dat voor je? Dat ze inloggen alsof ze de klant zijn? Dit is een duidelijke bestrafbare fout maar ik kan me geen omstandigheid voorstellen waarin de passwords misbruikt kunnen worden behalve voor vrijwel onvoorstelbare dingen (zoals ze gebruiken om andere accounts the hacken etc). Wat bedoel je precies met profielen van big data?

Je doet zware beschuldigingen (tegenwoordig normaal op tweakers) maar bied geen enkele ondersteuning voor die gedachte. Besef je je dat als je dit onder je eigen naam doet het zelfs strafbaar zou kunnen zijn?
Hij beschuldigt niemand.
Gebruikt woorden als "geloof" en "misschien", het lijkt mij ook niet aannemelijk dat een Facebook deze wachtwoorden op eigen houtje gebruikt. Maar dat een malafide medewerker een handig scriptje schrijft dat iets met deze wachtwoorden uithaalt lijkt me dan wel weer vrij plausibel.
Bij FB werken duizenden mensen waaronder veel topmensen op hun vakgebied.. Specialisten die bijvoorbeeld afgestudeerd zijn op het gebied van programmeertalen ontwikkelen voor multi-processor-omgevingen, processor-optimalisatie en dergelijke.

Moeilijk voor te stellen dat in zo’n omgeving dit niet door heel wat medewerkers moet zijn opgevallen tijdens hun werk.

En ja, dit bewust weglaten kan praktisch heel goed uitkomen, dat leidt geen twijfel.
Dan ken je de GDPR niet goed genoeg. Die biedt wel degelijk ruimte voor veroordeling van het niet encrypted opslaan of verwerken van persoonsgegevens. En een username en password kun je beide onder persoonsgegevens scharen. Het valt onder de noemer passende en adequate maatregelen voor de verwerking van persoonsgegevens. Het plaintext opslaan van wachtwoorden is al snel aan te merken als niet passend en niet adequaat. Er zijn maar weinig situaties te bedenken waar het wel adequaat en passend is. En dan zul je vooraf toestemming hiervoor moeten vragen van de gebruiker, anders verwacht ik niet dat een rechter daarin zal meegaan.
Het probleem is dat het dan ook een overtreding zou zijn om naam en adres zonder versleuteling op te slaan. Of een IP-adres. Of een emailadres. Noem het maar op. Het "kan" allemaal een overtreding zijn, maar dat is het vaak niet als er enkel intern toegang is (of extern indien dit duidelijk gedifinieerd is in de privacy policy). Feit blijft dat er geen aanwijzingen zijn dat deze data gelekt is naar de buitenwereld. De data is intern te raadplegen geweest (het is onduidelijk óf het geraadpleegd is door een medewerker die er niet bij zou moeten kunnen voor z'n werk). Dat maakt het een "ja, misschien is het niet helemaal in de haak" - maar ze werkelijk kunnen beschuldigen van een overtreding lijkt me behoorlijk stug. Zolang de data niet publiekelijk beschikbaar was of gelekt is, is de kans zeer klein dat de manier van opslag problematisch zou zijn.

Het is ook niet voor niets dat ze uitgebreid onderzoek moeten doen. Ik realiseer me dan ook dat het duidelijk geen uitgemaakte zaak is, maar als het overduidelijk vast zou staan dat het plain-text opslaan van wachtwoorden een overtreding zou zijn: dan hadden ze meteen een conclusie en/of sanctie gepubliceerd. Vanuit deze overwegingen en de vormgeving van de GDPR zelf, lijkt het me dus stug dat Facebook werkelijk een overtreding heeft begaan binnen het kader van de wet. Met mazzel, want je hoeft er maar één tussen hebben zitten die merkte dat hij/zij de data kon inzien en besloot er iets smerigs mee te doen - wat tot zover duidelijk niet is gebeurd en ook geen aanwijzingen voor zijn.
Je suggereert dat organisaties alleen in overtreding kunnen zijn wanneer er daadwerkelijk iets mis is gegaan. Dat is niet hoe de AVG werkt.
Dat ze ‘onderzoek doen’ heeft meer te maken met een vast protocol hoe het openbaar ministerie werkt.

Ook bij een zaak die klip en klaar is, zegt de politie of iemand van justitie nooit bij de eerste verklaring, als het net gebeurd is; ‘Hij gaf geen voorrang dus hij was fout’. Er staat altijd ‘de politie onderzoekt de zaak’ o.i.d. Laat staan dat ze dat bij zo’n gevoelig zaak als deze doen.
De AVG is expres niet gedefinieerd in termen van bepaalde technologie of praktijken die wel of niet zouden mogen, want dan loop je als wetgever altijd achter de ontwikkelingen aan. De verwerkingsverantwoordelijke (Facebook) moet zorgen dat persoonsgegevens (en volgens mij vallen wachtwoorden daar ook onder) voldoende worden beschermd. Wachtwoorden in platte tekst opslaan gold tien jaar geleden al als niet voldoende.
Als programmeur is een simpele hash niet echt lastig om te maken.

Als een lokaal bedrijfje dit al kan mag ik hopen dat een grote firma dat ook wel kan toch?
De fout zat in het loggen volgens het bericht. Dus je kan je passwords netjes gehashed opslaan in je database, helemaal volgens de regels, maar wanneer je een systeem ervoor zet wat inkomende webrequests logt dan zit de rauwe waarde van wat jij in het inlogscherm invult daar gewoon in. En nee, veel programmeurs hebben dat niet door omdat dit vaak niet een door hunzelf ingericht logging-systeem is. Dat logging-systeem moet wel weet hebben van de implementatie/gevoeligheden van het systeem om te beseffen wat/hoe hij zou moeten maskeren aan rauwe data (en niet alleen passwords, ook bv betaalgegevens moet je daar liefst grondig uitfilteren).
0.1% van de foutieve wachtwoorden is een situatie van pw in username veld ingetypt, dus zelfs username loggen is met een formaat als facebook eigenlijk al niet zomaar oke.
Het is wel elke week de laatste tijd feest met Facebook, ben benieuwd hoe lang dit nog door gaat :P.
Goed beseffen natuurlijk dat nieuws over IT problemen met Facebook/Google/Apple/Microsoft/etc meer kliks oplevert (en terecht, groter publiek en grotere groep getroffen mensen) dan soortgelijke IT problemen van een kleiner minder bekend bedrijf.

Betekent niet dat Facebook het verhoudingsgewijs slechter doet dan andere bedrijven op dit gebied.. enkel dat er bij hun meer op de vingers gekeken word.
Wat natuurlijk wél noemenswaardig is is het feit dat IT security blijkbaar dusdanig 'moeilijk' is dat het zélfs bij een groot bedrijf (dat in principe voldoende kapitaal heeft om te investeren in security) niet op orde is.
Het is natuurlijk wel zo dat een beveiligingsprobleem bij Facebook een groter probleem is dan hetzelfde probleem bij de buurtvereniging. Omdat het impact heeft op veel meer gebruikers en omdat ze een interessant doelwit zijn voor partijen die op zoek zijn naar gaten in de beveiliging. Dus ja, Facebook zou het veel beter moeten doen. Ik vind het raar dat ze ondanks alles nog steeds het vertrouwen hebben van veel mensen.
Het is natuurlijk wel zo dat een beveiligingsprobleem bij Facebook een groter probleem is dan hetzelfde probleem bij de buurtvereniging. Omdat het impact heeft op veel meer gebruikers en omdat ze een interessant doelwit zijn voor partijen die op zoek zijn naar gaten in de beveiliging. Dus ja, Facebook zou het veel beter moeten doen. Ik vind het raar dat ze ondanks alles nog steeds het vertrouwen hebben van veel mensen.
Mensen kunnen ook Facebook gebruiken zonder er vertrouwen in te hebben he ;)

Sterker nog, de overgrote meerderheid (inclusief veel Tweakers) gebruikt nog steeds Facebook. In de vorm van Whatsapp en Instagram (beiden van het bedrijf Facebook).

Dit blijft gewoon zo doormodderen (er komen natuurlijk in de toekomst nog veel meer schandalen naar buiten) tot:
-- er een populairder alternatief is dat niet opgekocht wordt door Facebook,
-- er op grote schaal identiteitsfraude gepleegd wordt, waarbij het duidelijk is dat de gegevens van Facebook komen,
-- er een serieuze politieke ramp (economische depressie, dictatuur, oorlog) gebruik van Facebook letterlijk levensgevaarlijk maakt.

Ik zie voorlopig nog niet veel mensen van Facebook afstappen, behalve wat mede ontwikkelaars misschien.

[Reactie gewijzigd door GeoBeo op 26 april 2019 04:18]

Zelf gebruik ik ook whatsapp, terwijl ik dat liever niet zou willen. Helaas is er, zoals je al aangeeft, voor zover ik weet geen goed alternatief waarvan tevens veel gebruik gemaakt wordt.

Hoewel ik whatsapp blijf gebruiken weet ik wel wat dit qua privacy (kan) betekenen. Ik ken ook personen (die in de IT werken nota bene) die steevast zeggen: “Ik heb niets te verbergen”. Dat vindt ik toch ook wel zorgelijk.
Er zijn voldoende alternatieven, maar als je het niet gaat gebruiken omdat niemand het doet, dan veranderd er niets. Ik gebruik 2 tegelijk. Langzaam gaan mensen in mijn omgeving ook over. Help andere mensen bewust worden.
En ja, sommige mensen gaan zeuren dat ze niet speciaal voor jou een andere app willen gebruiken: dan weet je meteen wat je aan ze hebt.
Er zijn voldoende alternatieven, maar als je het niet gaat gebruiken omdat niemand het doet, dan veranderd er niets. Ik gebruik 2 tegelijk. Langzaam gaan mensen in mijn omgeving ook over. Help andere mensen bewust worden.
En ja, sommige mensen gaan zeuren dat ze niet speciaal voor jou een andere app willen gebruiken: dan weet je meteen wat je aan ze hebt.
Signal toevallig? Ik merk dat er best wel significant wat vrienden gebruik van (willen) maken, ondanks dat ze allemaal wel om Whatsapp gezeurd hebben. Vooral mede-ontwikkelaars lijken erg makkelijk mee te doen met Signal. Die snappen immers de implicaties van het op straat gooien van alles wat je doet in je prive leven...

Ik heb nooit Whatsapp gebruikt en moet zeggen dat ik niet het gevoel heb iets te missen.

Dit vind ik ook een interessante gedachte:
En ja, sommige mensen gaan zeuren dat ze niet speciaal voor jou een andere app willen gebruiken: dan weet je meteen wat je aan ze hebt.
Ik kan het hier alleen maar mee eens zijn. In het ergste geval is er altijd nog email :P

[Reactie gewijzigd door GeoBeo op 26 april 2019 10:58]

Ik snap je punt. Probleem is echter zoals reeds aangegeven dat deze alternatieven niet wijdverspreid zijn.

Als je dit optelt bij het feit dat veel mensen zich van geen kwaad bewust zijn, zal het lastig zijn om deze personen over te halen om een alternatief te gebruiken, zeker ook omdat andere vrienden van die persoon het dan ook weer niet gebruiken.

Zeggen dat ik niets aan iemand heb omdat ze niet speciaal voor mij een alternatief gebruiken vindt ik persoonlijk wel wat ver gaan. Die redenatie is namelijk ook gemakkelijk om te draaien.

[Reactie gewijzigd door Jaatoo op 26 april 2019 19:11]

Ik zeg alleen dat je dan weer wat je aan ze hebt, niet dat je niets aan ze hebt.

Bij voorbaat opgeven is makkelijk, maar zo veranderd er nooit iets. Als er maar genoeg mensen beginnen en volhouden, dan heeft iemand opeens meer mensen die iets anders willen gebruiken.
Ach, er zijn 1 miljard Whatsapp gebruikers die vertrouwen hebben in Facebook en hun hele adresboek daarmee delen.
En als je daar wat van zegt: "Maar whatsapp is zo handig....."
En dan zeg je: telegram of signal of threema zijn net zo handig.
Mwah dunno. Weinig mensen die ik ken vertrouwen/gebruiken facebook nog intensief.
Meeste van mijn vrienden/familie/kennissen communiceren voornamelijk via WhatsApp en volgens mij is onder de jeugd (alles onder 20yo) Facebook totaal geen ding meer?

[Reactie gewijzigd door Ayporos op 25 april 2019 22:03]

En facebook is eigenaar van whatsapp ;). Dat maakt het zo lastig aangezien je misschien hun hoofdproduct niet gebruikt maar door diversificatie krijgen ze toch je gegevens.

https://www.cbinsights.co...ook-biggest-acquisitions/

WhatsApp ($22B, 2014) is Facebook’s largest acquisition to date. WhatsApp is a free SMS alternative that offers messaging and calling, available on phones all over the world. The app counts 1.5B+ users in over 180 countries.

Instagram ($1B, 2012), a photo sharing application, continues to see major growth, outshining Facebook itself. In mid-2018, the app surpassed 1B monthly active users (MAUs), hitting roughly 25% growth year-over-year. (In comparison, Facebook grew 3.1% to reach 2.2B MAUs.)

Hetzelfde zie je ook bij Disney en de levensmiddelen industrie alhoewel dat andere bedrijfstakken zijn
.
https://www.businessinsid...ndustry-2016-9/?r=US&IR=T
...Weinig mensen die ik ken vertrouwen/gebruiken facebook nog intensief.
Meeste van mijn vrienden/familie/kennissen communiceren voornamelijk via WhatsApp ...
WhatsApp is van Facebook. Als je WhatsApp gebruikt dan vertrouw je al je data (je contactpersonen, wanneer je met wie contact hebt, waar je bent, wanneer je thuis bent of op vakantie, etc, etc.) aan Facebook toe.
Sterker nog, als je Whatsapp gebruikt, heb je al je contactpersonen gevraagd of je hun data met Facebook en derden kan delen. Dat staat namelijk in de gebruiksvoorwaarden.
Echter het niet opslaan van plaintext wachtwoorden is nou niet echt rocket science. Het is een bekend onnodig risico maar blijkbaar is er gewoon geen aandacht voor. Dat dit misgaat betekent dat het bedrijfs proces bij Facebook niet goed is.

Idealiter zou je alleen de hash opslaan van het wachtwoord. Niks plaintext of zelfs encrypted wachtwoorden.
Wachtwoorden als hash opslaan deed ik al in de jaren negentig. Maar vaak zijn er nog wat andere factoren die mee spelen:
  • De support afdeling zeurt "Ja, maar nu kan ik klanten niet meer helpen als ze hun wachtwoord kwijtraken". Nee, dat klopt, ik heb een wachtwoord-reset scriptje geschreven. Management blij, want die denken dat ze nu 1/3 van de FTE'ers op de supportafdeling kunnen laten wieberen.
  • Moderne periodieke wachtwoordwisselingen die de melding "Uw nieuwe wachtwoord lijkt teveel op het wachtwoord dat u 3 wisselingen geleden heeft gebruikt" geven.
  • De development afdeling die een debug-vlaggetje nog aan had staan waardoor user input gelogt werd. Stom, het hashen van het wachtwoord hoort eigenlijk al op het loginscherm in de browser te gebeuren.
  • etc.
Nochtans hoor ik weinig van zulke berichten bij banken, zelfs niet van de kleintjes. Dit terwijl dat soort nieuws ongetwijfeld als zoete broodjes zal verkocht worden.
Wilt volgens mij dan toch wel zeggen dat de prioriteit wel duidelijk bij Facebook ergens anders ligt terwijl men misschien in deze tijden mag beginnen twijfelen of er wel een groot verschil is tussen de data dat een bank over je heeft en deze die Facebook over je heeft.
En dit is nog maar het topje van de ijsberg aan "foutjes" of "vergissingen" bij Facebook.
Dit soort beginners fouten ook al is het in een intern systeem van Facebook kan toch gewoon niet.
Het verhaal Facebook word steeds triester...

[Reactie gewijzigd door duspmeante op 25 april 2019 18:13]

Ik heb wat inside informatie via mensen die er werken, maar in het kort moet je het volgende beseffen: Facebook is primair een advertentie en dataverwerkinsgbedrijf, geen ICT bedrijf. Ook is het intern erg versplinterd met veel neven-projectjes. Uiteraard is men tegenwoordig steeds professioneler, maar oude bedrijfsgewoonten slijten langzaam, en "startup" gedrag van "we doen het even snel zo" blijft hier en daar de kop op steken bij dit soort neven-projecten.

Voeg toe dat omdat advertenties en dataverwerking de 'core business' zijn, en security dus niet echt iets is wat leeft binnen hun bedrijf. De gebruiker is het product, niet de klant. Dus vanaf het top management is er ook niet echt een harde lijn die nageleefd wordt, of iets waar individuele bonussen en promoties op gebaseerd worden.
Mooi verhaal.
Nu lang verhaal kort: zet al die miljarden maar aan het werk en doe niet alsof professionaliteit niet te betalen is.

Het interesseert ze gewoon geen bal, daar komt het op neer. Zolang het geld binnen blijft stromen en hier en daar af en toe eens een paar miljoentjes (zakgeld) aan een boete wordt betaald gaat het gewoon zo door.

Het ergste is nog wel dat ze doen alsof ze om privacy geven. Privacyschending heeft Facebook samen met Google zo'n beetje uitgevonden. Sinds dat drakenproject, CIA 'Face-Recognition-Book', is het internet behoorlijk verslechterd.
Inloggen op alle webdiensten via 1 login van Facebook,.. no thanks! Zelfde geldt voor Google.

(Microsoft heeft het al eens eerder geprobeerd met hun 'live' account in Windows XP met een aparte live browser. Gelukkig faalde dat toen wel.)
Zolang het geld binnen blijft stromen en hier en daar af en toe eens een paar miljoentjes (zakgeld) aan een boete wordt betaald gaat het gewoon zo door.
Even het nieuws gemist deze week?

"But Facebook also says it is setting aside $3 billion, or roughly 6 percent of its cash and marketable securities on hand, for the FTC fine that is coming down the pipeline at some point, likely later this year."

Weet je hoeveel 'miljoentjes' dat zijn. Heeeeeel veel.
Nieuws niet gemist. Die boete is nog niet opgelegd, dus nee, het zijn maar een paar miljoentjes tot nu toe.
Dat.

Plus dat je geacht wordt je zaakjes goed geregeld te hebben. En anders boetes dokken. Geldt net zo goed voor andere bedrijven: zaakjes niet op orde, dan ben je (na constatering) aan de beurt. Misschien dat ze het dan nu eens een keer gaan snappen.
Dat is 2% te veel, dus ze houden nog over :P
Zo'n 50% van de winst van het kwartaal.

Maak het een redelijk percentage van de omzet, dan gaan ze echt schrikken.
Maar 6% dus. Dat hakt er niet hard genoeg in, als de boete al van dat formaat is.
Voeg toe dat omdat advertenties en dataverwerking de 'core business' zijn, en security dus niet echt iets is wat leeft binnen hun bedrijf.
Ik begrijp het wel. Maar dit gaan ze niet lang meer volhouden. Privacy waakhonden beginnen wereldwijd steeds harder te roepen en "de producten"/gebruikers beginnen langerzamerhand ook te twijfelen en af te haken. Dan kan je doorgaan totdat de situatie nog verder uit de hand loopt, of je gaat je gewoon aan de regels houden.
Ik heb wat inside informatie via mensen die er werken, maar in het kort moet je het volgende beseffen: Facebook is primair een advertentie en dataverwerkinsgbedrijf, geen ICT bedrijf.
Met alle respect, maar daar zakt m’n broek van af. Het is 1 van de grootste data verwerkers op de wereld en dan verschuilen achter “het is een advertentie en dataverwerkingsbedrijf, geen ICT bedrijf”. Dat schiet bij mij echt in het verkeerde keelgat. Het ontslaat je geenszins van je verplichtingen om verantwoordelijk met de data van je gebruikers om te gaan! Het is des te meer reden waarom beveiliging op nr 1 zou moeten staan. Het is de verantwoordelijkheid van Facebook om de gegevens van hun gebruikers zo goed mogelijk te beschermen. En ze hebben meer dan zat geld om hier aan te besteden. Als je quote echt waar is, zijn het een stelletje prutsers en is Mark Zuckerberg een gevaar voor de maatschappij met z’n onverantwoorde bestuur van het bedrijf.

En kom op; het niet gehashed opslaan van wachtwoorden is zo’n amateuristische fout dat je het op geen enkele manier goed kan praten. Een bedrijf als Facebook zou code reviews, security audits en meer van dat soort zaken op orde moeten hebben, om juist dit soort blunders te voorkomen.

[Reactie gewijzigd door Laurens-R op 25 april 2019 22:13]

Met alle respect, maar daar zakt m’n broek van af.
Dat vind ik dan weer vrij naïef. Elk bedrijf wil a. zo veel mogelijk geld binnenkrijgen en b. zo min mogelijk geld uitgeven. Voor allebei die zaken geldt dat ze dat met zo min mogelijk moeite willen doen. En als er niemand is die eisen stelt aan de manier waarop ze dat doen, doen ze dat zo makkelijk (lees: laks) mogelijk. Een bedrijf gaat het zichzelf niet uit zichzelf moeilijk maken.
Het is de verantwoordelijkheid van Facebook om de gegevens van hun gebruikers zo goed mogelijk te beschermen.
Nee. Facebook is een bedrijf, het is hun primaire verantwoordelijkheid - wettelijke plicht, zelfs - om voor hun aandeelhouders zo veel mogelijk winst te maken. Als het niet respecteren van privacy hen meer winst oplevert dan het wel respecteren ervan zullen ze het niet respecteren.

Bedrijven zijn geen mensen, zelfs geen levende wezens. Ze hebben geen geweten. Je kunt een bedrijf niet aanspreken op 'morele plicht' of 'ethiek', want dat zijn menselijke eigenschappen en die hebben ze niet en krijgen ze ook niet.
Mark Zuckerberg [is] een gevaar voor de maatschappij met z’n onverantwoorde bestuur van het bedrijf.
Correct. Maar daar is Zuckerberg bepaald niet uniek in. Kijk maar eens in de geschiedenis, er zijn hoopjes bedrijven die regelrecht schijt hebben aan wat wij, als mensen, als 'verantwoord' of 'juist' beschouwen en er op los liegen, bedriegen, frauderen, bedreigen, vervuilen of zich anderszins volkomen asociaal gedragen.

Als een mens zich zo gedraagt verwijderen we hem uit de samenleving. Maar bij bedrijven vinden we dat allemaal wel prima want economie en we willen wel onze spulletjes en liefst zo goedkoop mogelijk.

[Reactie gewijzigd door Iknik op 26 april 2019 09:18]

Bedrijven zijn geen mensen, zelfs geen levende wezens. Ze hebben geen geweten. Je kunt een bedrijf niet aanspreken op 'morele plicht' of 'ethiek', want dat zijn menselijke eigenschappen en die hebben ze niet en krijgen ze ook niet.
sorry maar dat is ook BS.
Bedrijven worden geleid door mensen en die kunnen wel een geweten en moraal hebben.
echter eens dat ze zover zijn, is het door a hebberigheid of b managers mentaliteit dat ze hun veel gemakkelijker verstoppen achter hun bedrijfsmuur.
zolang mensen als jij dit gedrag goed praten zal dat ook zo blijven.
Dat Zuckerberg daarin niet uniek is, maakt het nog niet goed.
Nee bedrijfsleiders moeten wereldwijd meer verantwoordelijk gesteld worden voor de daden van het bedrijf onder hun leiding. Er zijn ook genoeg bedrijfsleiders die het omgekeerde doen en zeggen "nee dit is niet de koers die ik wil varen en dat we dan misschien minder wist maken is maar zo."
Dus het kan echt wel. Daarom nogmaals als Mensen als Zuckerberg dat gericht negeren en geen moraliteit wil vertonen, dan mag hij daar zelfs 100% voor aansprakelijk gesteld worden van mij. Helaas is dat niet wettelijk zo.

[Reactie gewijzigd door bigbadbull op 26 april 2019 09:32]

Ja, dat had ik gelezen :) maar ik begrijp de relevantie t.o.v. mijn verhaal niet helemaal?
Hoezo naief? Weet je wel niet wat voor financiële schade een datalek kan opleveren? En imago schade? Of denk je dat Facebook met veel plezier miljarden opzij zet voor een boete? De business case is snel gemaakt hoor. Ik werk voor veel non-IT enterprises en die hebben allemaal propere controls en processes in place om deze risico’s te minimalizeren. Het is bij security altijd een balans tussen kosten en waarde van de data die je wilt beveiligen, maar over het algemeen word hier bij de meeste bedrijven met een vergelijkbare omvang serieus veel geld aan gespendeerd (vele miljoenen).

[Reactie gewijzigd door Laurens-R op 26 april 2019 11:02]

Weet je wel niet wat voor financiële schade een datalek kan opleveren?
Dat is allemaal secundair, het zijn geen bedrijfsdoelstellingen maar extern opgelegde eisen en voorwaarden. Een bedrijf geeft zichzelf geen boete bij een datalek, en als er geen AVG was geweest had het ze ook geen moer geïnteresseerd. Hoe veel bedrijven hadden zelf al AVG-achtige controls voordat de AVG er was? Al die organisaties lopen niet voor niets te klagen dat het allemaal zo lastig is. Het is lastig omdat ze het niet hadden, er nog nooit over hebben nagedacht en het niet belangrijk vonden. Als ze dat zelf al wel hadden gedaan hadden ze dat soort controls namelijk al en was de AVG geen enkel probleem geweest.
En imago schade? De business case is snel gemaakt hoor.
Imagoschade is alleen een probleem als het naar buiten komt, en dan ook nog maar beperkt. Ik denk dat de meeste mensen al vergeten zijn dat BP de de veroorzaker is van één van de grootste milieurampen uit de geschiedenis, niet vanwege een ongeluk, maar alleen vanwege geld.

De afweging is niet een morele (is dit goed of fout), maar een rationele (hoe goed zouden we dit onder de pet kunnen houden).

Dat is ook logisch, het is een consequentie van de manier waarop bedrijven in elkaar zitten en hoe we ze (juridisch) behandelen. Ik zeg alleen dat ik vind dat er dan ook in wet- en regelgeving rekening mee gehouden zou moeten worden dat bedrijven moreel geïnspireerde beleidsbeslissingen wat minder enthousiast zullen nemen dan dat 'gewone' mensen dat doen.
Tijd om die lakse en illegale cultuur eens met een paar miljardenboetes te corrigeren.
Wat een bullshit.
Je hebt je verantwoording. Juist als je een dataverwerkingsbedrijf bent, van persoonlijke data, dan moet security absoluut prioriteit krijgen.
Het is een studentenclubje dat zijn zakken aan het vullen is. Het is heel makkelijk voor zuckerberg om te zeggen: en nu stoppen we even met alle leuke projectjes en zorgen we dat security op orde is. Dat had ie meer dan 10 jaar geleden al kunnen doen, dan was het nu meer een onderdeel geweest van de bedrijfsvoering, en was het niet meer zo’n probleem geweest.
Vraag je je toch af... wat voor mensen werken daar wel niet?...
Je zou denken dat een bedrijf als Facebook de 'crème de la crème' van programmeurs en IT experts en security experts in dienst zou moeten hebben...
Of worden dit soort logging applicaties gewoon door onbetaalde interns geschreven en vervolgens niet nagekeken door professionals? 8)7 8)7 |:(
Ik denk dat het voornamelijk ligt aan de veel te grote en complexe codebase van Facebook met allerlei shit die op elkaar leunt, met elkaar moet kunnen integreren, et cetera, et cetera. Hoe complexer het wordt en hoe meer teams ergens aan werken of input moeten geven ('too many cooks in the kitchen'), hoe groter het risico dat er iets mis gaat - hoe simpel het ook lijkt.

Apple heeft daar een paar jaar terug ook mee te maken gehad met een paar hele slordige bugs, die hebben toen allerlei nieuwe features uitgesteld om orde op zaken te stellen en de boel opnieuw helemaal na te lopen. Eerst de focus terug op beveiliging en privacy waarborgen, daarna pas verder met de fancy meuk. Dat was een goede keuze. Gezien Facebook me behoorlijk uitontwikkeld lijkt (op achterlijke experimentals na, de ene nog erger dan de andere functie) mogen ze dat daar ook wel ff doen wmb.
Aan de ene kant snap ik je punt, en begrijp ik dat ook wel.
Aan de andere kant, we hebben het hier over een tabel waar onversleutelde wachtwoorden als tekst opgeslagen zijn.
Als ik aan het programmeren ben met dingen wegschrijven/uitlezen dan kijk ik ook altijd even naar de daadwerkelijke data in de tabel.. lijkt me geen overbodige luxe en kost ook geen uur of zo (welgeteld 10 seconden of zo) en dan zie je toch METEEN dat daar onversleutelde wachtwoorden in die fields zitten. :+
Ik denk niet dat het hier om een database ging, ik verwacht eerder iets als Splunk of Elastic Search + kibana.

En dan zit je precies op een raakvlak van development en operations, waarbij een developer alles wat zijn app doet logt, en de logserver indexeert gewoon alles wat ie binnenkrijgt. En lang niet alle logging is goed gestructureerd waardoor het heel lastig is om te bepalen welke velden wachtwoorden zijn of semi-random id's van het 1 of ander
Hmm, dus wat je bedoelt te zeggen is dat de wachtwoorden in een onversleutelde staat gelogged worden?.. dus de hook-in zit niet goed?.. of de wachtwoorden worden op (mogelijk onnodige) plekken onversleuteld doorgegeven?

Lijkt mij dat vraagstuk numero uno bij een activiteitslogger is of er geen dingen gelogd worden op een manier wat niet de bedoeling is? :9

[Reactie gewijzigd door Ayporos op 25 april 2019 19:32]

Grote kans dat volledige requests inderdaad plaintext gelogged werden naar stdout in een container. Wat dan weer terecht komt in logging van dat cluster, en zo naar de logserver. Dus fouten op meerdere lagen met verschillende verantwoordelijken
Vraag je je toch af... wat voor mensen werken daar wel niet?...
Je zou denken dat een bedrijf als Facebook de 'crème de la crème' van programmeurs en IT experts en security experts in dienst zou moeten hebben...
..
Waarom denk je dat? Misschien werken daar juist niet de beste mensen.
Hoe kan het dat daar zoveel (top) developers aan het werk zijn maar er geen één is die er wat van zegt of iets tegen doet?
De echte topdevs werken daar aan de algoritmes om gebruikers meer op ads te laten klikken.

Blij dat de privacy wetgeving hierop losgelaten wordt. Hoop dat Facebook een mooie boete hiervoor krijgt.
Blij dat de privacy wetgeving hierop losgelaten wordt. Hoop dat Facebook een mooie boete hiervoor krijgt.
Een interessante ontwikkeling is dat nu mogelijk ook in de US zelf een 'GDPR Light / Lite' wordt geïntroduceerd. Wetgeving in California (The Consumer Right to Privacy Act), maar ook andere staten gaat dit afdwingen. Ondanks dat Facebook een global bedrijf is, wordt het wel interessant als in het thuisland dit nu ook actueel gaat worden.
Dat is uiteindelijk wel gebeurd volgens het vorige artikel. Men heeft intern de bug gevonden, melding gemaakt en een audit uitgevoerd om te kijken of er meer problemen zijn.
Je bijt niet in de hand die je voedt.
Geld stinkt niet.
Geld dat stom is, maakt recht wat krom is.
Belofte is een hemd der dwazen.
etc.
Je bijt niet in de hand die je voedt.
Dus jij denkt dat ze dit doen voor de adverteerders? Opvallend. De rest van je proza kan ik niet goed plaatsen.
Het gaat om het (schijnbaar per ongeluk) loggen van het wachtwoord. Als je bijv. bij bepaalde fouten of situaties alle ingaande en uitgaande data in een request logt is dat al snel gebeurd. In een groot IT systeem is het helemaal niet gezegd dat je als ontwikkelaar doorhebt wat er allemaal voor code bestaat. Tientallen miljoenen regels code auditen is lastig en als de bug dan in het samenspel van de configuratie van log-tooling en specifieke code ergens compleet anders zit heb je dat niet altijd even snel door.

[Reactie gewijzigd door kftnl op 25 april 2019 18:37]

Het authenticatie moment is prima te duiden, overige authenticatie gaat als het goed is via een token. Dat is dus een specifiek aan te wijzen request, die moet je kunnen bewaken, zo complex zou dat niet moeten zijn.
Nou, lijkt me niet dat er met al hun apps, websites, etc, maar 1 specifieke request is voor alle wachtwoord-authenticatie binnen Facebook? Tel de load balancers, firewalls e.d. die tussen zitten en alles wat er weer achter zit er bij op, en zelfs als het maar 1 request is genereert die waarschijnlijk weer aardig wat requests, die allemaal weer eigen logging, tracing, etc hebben. Ja natuurlijk had je zo'n fout kunnen voorkomen, echter de 1000 fouten die ze voorkomen zie je niet, je ziet die ene keer dat het niet gelukt is. Jij (en het team/bedrijf waar jij werkt) maakt vast ook weleens fouten die voorkomen hadden kunnen worden maar door een samenloop aan omstandigheden toch gebeuren.
Dat zou het dus wel moeten zijn in een goede (microservices) architectuur. Als ze op de loadbalancers, firewalls e.d. ssl termination doen zou ik er geen post request gaan loggen. Dat ene auth request zou een token moeten genereren die in al die andere requests kan worden gebruikt. En ja, fouten komen voor, maar dit is nu precies het gebied (authentication/authorisation) waar het niet kan en mag gebeuren.
Hoe kan het dat daar zoveel (top) developers aan het werk zijn maar er geen één is die er wat van zegt of iets tegen doet?
Dat zijn veel aannames in 1 zin. :P
Waarom zouden het top developers zijn?
Niet waarschijnlijk dat die dit allemaal wisten.
Wellicht is dit wel aangekaart, maar heeft het nooit prio gehad om aan te passen of is het om een andere reden niet aangepast.
Best grappig als je er eens over nadenkt waarom we hashes gebruiken. Dit is puur om onszelf de te beschermen omdat we altijd dezelfde of gelijkaardige wachtwoorden gebruiken. Als iedereen nu simpelweg lastpass of een dergelijke passwordmanager zou gebruiken(En wachten uniek maakt of laat genereren) dan zou dit zelfs amper een probleem voorstellen.
Ook bij unieke wachtwoorden zou ik ze liever gehasht zien. Als de database dan ergens gejat wordt dan kunnen ze niet meteen inloggen op jouw account, maar pas als ze de wachtwoorden gekraakt hebben. Dat geeft een site/bedrijf de kans, als de diefstal is ontdekt, om alle gebruikers op de hoogte te stellen en maatregelen te nemen.
Ja idd, dat is valid. Maar als de database al gekraakt is, hebben ze sowieso al uw data ongeacht het een moeilijk / makkelijk wachtwoord was. Eenmaal dat de database geleaked is, zou ik er vanuit gaan dat het bedrijf toch wel op de hoogte, maar idd hashing is en blijft wel leuk natuurlijk.
Password managers kunnen de boel ook weer erger maken, ze concentreren het risico - eenmaal gekraakt staan al je accounts open. In dit geval is het enkel Facebook, en niet je mail of cloud storage account.
Als je een lokale wachtwoord manager gebruikt zoals keepass is de attack vector vele malen kleiner.

Daarentegen als ie uitlekt is bruteforcen van de masterkey weer makkelijker.

Cloud based wachtwoord managers hebben dan wel weer bescherming tegen brute forcing, maar een ongelooflijk grote attack vector.
Iets zoals de CIA driehoek:
Confidentiality, integrity and availability
Alles heeft belang, maar het is de keuze ertussen.
“Lokaal” betekent niks als je PC ongemerkt een zombie is, dat wordt het pas als Keepass op een ‘airgapped’ offline device staat.
Wat maakt het uit als je de wachtwoorden versleuteld maar iedere medewerker de sleutel heeft?

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Microsoft Xbox One S All-Digital Edition LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Google

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True