Meta paguan çmimin për ruajtjen e qindra miliona fjalëkalimeve në tekst të thjeshtë
Password online form. Cyber security concept image.
Zyrtarët në Irlandë kanë gjobitur Meta me 101 milionë dollarë për ruajtjen e qindra miliona fjalëkalimeve të përdoruesve në tekst të thjeshtë dhe për t’i bërë ato gjerësisht të disponueshme për punonjësit e kompanisë.
Meta zbuloi gabimin në fillim të vitit 2019. Kompania tha se aplikacionet për t’u lidhur me rrjete të ndryshme sociale në pronësi të Meta-s kishin regjistruar fjalëkalimet e përdoruesve në tekst të thjeshtë dhe i ruanin ato në një bazë të dhënash që ishte kërkuar nga afërsisht 2000 inxhinierë të kompanisë, të cilët kolektivisht kërkuan më shumë për ruajtjen. se 9 milionë herë.
Zyrtarët e Meta thanë në atë kohë se gabimi u gjet gjatë një rishikimi rutinë të sigurisë të praktikave të ruajtjes së të dhënave të rrjetit të brendshëm të kompanisë. Ata vazhduan të thoshin se nuk zbuluan asnjë provë që dikush kishte hyrë në mënyrë të gabuar në kodet e kalimit ose se kodet e kalimit ishin ndonjëherë të aksesueshme për njerëzit jashtë kompanisë.
Pavarësisht këtyre garancive, zbulimi ekspozoi një dështim të madh sigurie nga ana e Metës. Për më shumë se tre dekada, praktikat më të mira në pothuajse çdo industri kanë qenë të hash në mënyrë kriptografike fjalëkalimet. Hashing është një term që zbatohet për praktikën e kalimit të fjalëkalimeve përmes një algoritmi kriptografik të njëanshëm që cakton një varg të gjatë karakteresh që janë unik për çdo hyrje unike të tekstit të thjeshtë.
Për shkak se konvertimi funksionon vetëm në një drejtim – nga teksti i thjeshtë në hash – nuk ka asnjë mjet kriptografik për konvertimin e hasheve përsëri në tekst të thjeshtë. Kohët e fundit, këto praktika më të mira janë mandatuar me ligje dhe rregullore në vendet në mbarë botën.
Për shkak se algoritmet e hashimit funksionojnë në një drejtim, e vetmja mënyrë për të marrë tekstin e thjeshtë përkatës është të hamendësosh, një proces që mund të kërkojë sasi të mëdha kohe dhe burime llogaritëse. Ideja pas hashimit të fjalëkalimeve është e ngjashme me idenë e sigurimit nga zjarri për një shtëpi. Në rast emergjence – hakimi i bazës së të dhënave të fjalëkalimeve në një rast, ose zjarri i shtëpisë në tjetrin – mbrojtja izolon palën e interesuar nga dëmi që përndryshe do të kishte qenë më i tmerrshëm.
Që skemat e hashimit të funksionojnë siç synohet, ato duhet të ndjekin një sërë kërkesash. Njëra është se algoritmet e hashimit duhet të dizajnohen në atë mënyrë që të kërkojnë sasi të mëdha burimesh kompjuterike. Kjo i bën algoritmet si SHA1 dhe MD5 të papërshtatshëm, sepse ato janë krijuar për të hash shpejt mesazhet me llogaritjen minimale të kërkuar. Në të kundërt, algoritmet e krijuar posaçërisht për hashimin e fjalëkalimeve – të tilla si Bcrypt, PBKDF2 ose SHA512crypt – janë të ngadalta dhe konsumojnë sasi të mëdha memorie dhe përpunuese.
Një kërkesë tjetër është që algoritmet duhet të përfshijnë “kriposje” kriptografike, në të cilën një sasi e vogël karakteresh shtesë i shtohen fjalëkalimit të tekstit të thjeshtë përpara se ai të hashohet. Kripja rrit më tej ngarkesën e punës që kërkohet për të çarë hash. Cracking është procesi i kalimit të një numri të madh supozimesh, shpesh të matura në qindra miliona, përmes algoritmit dhe krahasimi i secilit hash me hash-in që gjendet në bazën e të dhënave të shkelur.
Qëllimi përfundimtar i hashimit është ruajtja e fjalëkalimeve vetëm në format hash dhe asnjëherë si tekst i thjeshtë. Kjo parandalon hakerët dhe të brendshëm me qëllim të keq që të jenë në gjendje të përdorin të dhënat pa pasur nevojë të shpenzojnë më parë sasi të mëdha burimesh.
Kur Meta zbuloi gabimin në 2019, ishte e qartë se kompania kishte dështuar të mbronte siç duhet qindra miliona fjalëkalime.
“Është e pranuar gjerësisht që fjalëkalimet e përdoruesve nuk duhet të ruhen në tekst të thjeshtë, duke marrë parasysh rreziqet e abuzimit që lindin nga personat që aksesojnë të dhëna të tilla,” tha Graham Doyle, zëvendëskomisioner në Komisionin e Mbrojtjes së të Dhënave të Irlandës. “Duhet të kihet parasysh se fjalëkalimet, objekt i shqyrtimit në këtë rast, janë veçanërisht të ndjeshëm, pasi ato do të mundësonin aksesin në llogaritë e mediave sociale të përdoruesve.”
Komisioni ka nisur hetimet për ngjarjen që kur Meta e zbuloi atë më shumë se pesë vjet më parë. Organi qeveritar, rregullatori kryesor i Bashkimit Evropian për shumicën e shërbimeve të internetit në SHBA, vendosi një gjobë prej 101 milion dollarë (91 milion euro) këtë javë. Deri më sot, BE e ka gjobitur Metën më shumë se 2.23 miliardë dollarë (2 miliardë euro) për shkelje të Rregullores së Përgjithshme të Mbrojtjes së të Dhënave e cila hyri në fuqi në 2018. Kjo shumë përfshin gjobën rekord të vitit të kaluar 1.34 miliardë dollarë të cilën Meta po e apelon.