Dyrektor generalny Facebooka włamywał się na konta użytkowników własnego serwisu?

Pojawiły się doniesienia, że założyciel oraz dyrektor generalny Facebooka, dokonywał kilka lat temu nielegalnych włamań do kont pocztowych należących do użytkowników swego raczkującego serwisu społecznościowgo. Korzystając z informacji zgromadzonych we własnym serwisie, Zuckerberg uzyskał ponoć dostęp do kont pocztowych należących do reporterów przygotowujących materiał prasowy mogący zaszkodzić Facebookowi.

Korzystając z informacji technicznych (logów) zgromadzonych w ramach Facebooka, Zuckerberg miał w 2004 roku uzyskać nieuprawiony dostęp do kont pocztowych należących do dwóch dziennikarzy studenckiego periodyku Harvard Crimson. Motywem działań dyrektora Facebooka była ponoć obawa przed publikacją artykułu dotyczącego podobieństw stawiającego wtedy pierwsze kroki Facebooka, do nieczynnego już dziś portalu ConnectU.

Cała sprawa miała związek z kontrowersyjnymi początkami Facebooka (uruchomionego w lutym 2004 r. jako TheFacebook.com). Otóż Zuckerberg, pod pozorem współpracy, podkradł pomysły trzech studentów Harvardu (Camerona Winklevoss, Tyler Winklevoss oraz Divya Narendra) pracujących nad serwisem HarvardConnection.com (przemianowanym później na ConnectU). W związku z całą sprawą, redaktorzy Harvard Crimson przygotowywali artykuł zawierający uzasadnione oskarżenia twórców HarvardConnection.com pod adresem Zuckerberga. Ten zaś wiedząc o przygotowywanym materiale, robił wszystko by zapobiec publikacji… włącznie z przeglądaniem prywatnej korespondencji e-mail prowadzonej przez redaktorów!

Na chwilę obecną trudno będzie potwierdzić oskarżenia wysuwane pod adresem Zuckerberga, gdyż z pewnością nie istnieją już dowody mogące jednoznacznie wyjaśnić tę tajemniczą sprawę. Przy okazji warto jednak zwrócić uwagę na bardzo rzadko poruszaną kwestię możliwych nadużyć ze strony administratorów witryn oraz portali internetowych. Otóż wbrew powszechnej opinii, serwisy internetowe gromadzą na temat swych użytkowników informacje wystarczające w wielu przypadkach do uzyskania nielegalnego dostępu do kont swych użytkowników i to również tych założonych w innych serwisach.

Jak to możliwe? Nawet jeśli baza haseł użytkowników zawiera wyłącznie tzw. skróty haseł (utworzone za pomocą funkcji skrótu), a nie same hasła, to w wielu przypadkach możliwe jest odtworzenie na tej podstawie samego hasła. Oznacza to, że najczęściej wbrew zapewnieniom, administratorzy serwisów internetowych są zazwyczaj (przy odrobienie zachodu) w stanie poznać hasło stosowane przez konkretnego użytkownika. Natomiast, jako że internauci bardzo często stosują to samo hasło w wielu różnych serwisach, otwiera to potencjalnie drogę do uzyskania nielegalnego dostępu do kont użytkownika w innych serwisach…

Na koniec warto się jeszcze zastanowić nad tym, w jaki sposób możemy się bronić przed tego typu zagrożeniami ze strony właścicieli oraz administratorów serwisów internetowych? Otóż uchronić może nas stosowanie silnych haseł, gdyż odzyskanie takiego hasła z jego skrótu jest bardzo utrudnione lub często w praktyce niemożliwe. Należy również do każdego z zastosowań wykorzystać inne hasło, tak by przejęcie jednego z naszych haseł nie otwarło intruzowi drogi do wszystkich innych naszych kont. Ze sposobem pozwalającym na utworzenie w prosty sposób wielu różnych bardzo bezpiecznych haseł można się zapoznać tutaj.

Materiał pochodzi z serwisu HARD CORE SECURITY LAB.

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

  1. Awatar fEnIo
    fEnIo

    Nawet jeśli baza haseł użytkowników zawiera wyłącznie tzw. skróty haseł (utworzone za pomocą funkcji skrótu), a nie same hasła, to w wielu przypadkach możliwe jest odtworzenie na tej podstawie samego hasła.

    To chyba zbyt daleko posunięte uproszczenie. Jesteśmy często w stanie wykryć frazę, która daje taki sam skrót. Nigdy nie ma pewności, że takie było hasło użytkownika.

    pozdr,
    fEnIo

    1. Awatar szel
      szel

      To bardzo często oznacza znalezienie hasła. A w tekście zaznaczono, że w wielu a nie wszystkich.

    2. Awatar X
      X

      Ale czemu nie mieliby sobie zapisać gdzieś na boku pełnego hasła? No i w ogóle, moja aplikacja, mój host, jam admin – mogę wszystko, bez włamywania się. Nie ma co kombinować panowie.

  2. Awatar spy000yps
    spy000yps

    "Korzystając z informacji technicznych (logów) zgromadzonych w ramach Facebooka"

    Bzdura. Ktoś kto to wymyślił najwyraźniej nie wie co znajduje się w logach serwisu, serwerów…

    "Nawet jeśli baza haseł użytkowników zawiera wyłącznie tzw. skróty haseł (utworzone za pomocą funkcji skrótu), a nie same hasła, to w wielu przypadkach możliwe jest odtworzenie na tej podstawie samego hasła"

    Ta, a rozbijanie md5 choć teoretycznie możliwe nadal wymaga dużej mocy przerobowej. Zresztą teraz standardem jest sha1 z długim saltem. Rozbicie tego jest tak trudne i czasochłonne, że chyba nikt poza badaczami tego nie robi.

    Gdyby chciał zrobić coś takiego jak, to najłatwiej byłoby utworzyć tabelę do której otwartym tekstem byłyby zapisywane hasła wybranych użytkowników. To jest najprostsze rozwiązanie, dostępne dla każdego właściciela serwisu. Gdyby w tym artykule była o tym mowa, to może bym uwierzył. Tak to jest stek bzdur wyssanych z palca.

    1. Awatar hcsl.pl
      hcsl.pl

      No cóż Zuckerberg korzystał z logów… ponieważ wykorzystał log nieudanych prób logowania (zawierający hasła wprowadzane w trakcie nieudanych prób). Oczywiście, że chcąc zbierać hasła najlepiej zapisać je wprost do bazy i po problemie. Zauważ, że napisałem, że "Nawet jeśli baza haseł użytkowników zawiera wyłącznie tzw. skróty haseł " to wtedy i tak w wielu przypadkach możemy odzyskać z tego hasło. Szeregowy administrator jakiegoś dużego serwisu nie będzie miał raczej wpływu na to w jaki sposób hasła są przechowywane w bazie, ale jeśli będzie miał tylko dostęp do skrótów haseł to i tak potencjalnie może mu to się przydać do "hakowania" użytkowników własnego serwisu…

    2. Awatar szel
      szel

      Ale przecież istnieją bazy zesłownikowanych par słowo-jego_hash i mając hash, można dojść słowa, które daje taki skrót. Nie znam się na tym zbyt mocno i chętnie zostanę wyprowadzony z błędu.

      1. Awatar spy000yps
        spy000yps

        Masz rację – istnieją. To się nazywa tęczowe tablice.

        Ale są dwa "ale".

        1 – właściciel portalu mógł zrobić to wszystko prościej – mógł po prostu zapisywać hasła otwartym tekstem z formy logowania. Nie wierzę, że gość który zrobił najpopularniejszy serwis społecznościowy na świecie, byłby tak głupi, żeby łamać hasła rozbijając hashe – przecież mógł zdobyć hasła bez ich rozbijania. Ta historyjka robi z gościa idi otę a on na pewno głupi nie jest.

        2 – jak już wspomniałem, teraz standardem (poza sha1) jest używanie soli – to skutecznie uniemożliwia skorzystanie z tęczowych tablic, bo zwiększa liczbę kombinacji. Na przykład o ile dobrze pamiętam w Linuksie dla shadow sól ma 12 bitów co przekłada się na to, że każde hasło może być zahashowane na 4096 sposobów.

        1. Awatar szel
          szel

          W ogóle nie próbuję dyskutować z faktem, czy ten człowiek robił coś takiego, czy nie. Po prostu zastanawia mnie sama techniczna możliwość odzyskania hasła na podstawie hasha. O solach poczytam, dzięki.

        2. Awatar szel
          szel

          No i poczytałem i w szoku jestem jeśli chodzi o to, jak proste są sole i jak wiele dają. Wiedza +1.

  3. Awatar Lewy
    Lewy

    Artykuł opisuje wydarzenia sprzed 6 lat. Pamięta ktoś (wujek google nie rozumie o co mi chodzi..) kiedy zaczęto stosować tęczowe tablice i sole?

    1. Awatar dzikus
      dzikus

      Właśnie wtedy!

      1. Awatar spy000yps
        spy000yps

        Nieprawda.

        Tęczowe tablice były znane od… mam baaardzo starą książkę z poprzedniego wieku i o nich jest tam trochę napisane. Pewnie jedna z pierwszych technik obok brute force.

        Co do salt, to też jest to już dość stara technika – na pewno w Linuksie jest odkąd pamiętam.

        1. Awatar Lewy
          Lewy

          Dziwne, o ile z solami tak się spodziewałem, to tęczowe tablice wydawały mi się dość nowym osiągnięciem kryptoanalizy.

  4. Awatar veel
    veel

    "Na chwilę obecną trudno będzie potwierdzić oskarżenia wysuwane pod adresem Zuckerberga, gdyż z pewnością nie istnieją już dowody mogące jednoznacznie wyjaśnić tę tajemniczą sprawę."

    Ale plotkę trzech sfrustrowanych frajerów, którym się nie udało, bo jeden człowiek okazał się od nich lepszy, trzeba rozpowiadać? Jak dla mnie to zwykłe pomówienie.

    Ta historia nie trzyma się kupy. Jak niby Zuckerberg włamując się na konta mailowe miałby zapobiec publikacji jakiegoś ichniego artykuliku?

    Poza tym:
    Nie wiem na ile ich bajka o skopiowaniu ConnectU jest prawdziwa, ale pomysły kopiuje dziś każdy. A wygrywa ten, kto zaimplementuje je najlepiej. Takie zjawisko nazywa się konkurencją.
    Choć coraz więcej nieudaczników próbuje z nią walczyć – jak nie patentami, to oczernianiem konkurencji.

    1. Awatar me
      me

      To zrozumiałe, wszak zwycięzcy zgarniają całą pulę, pozostaje więc oczywisty wybór między przegrywaniem, a grą w coś rokującego wygraną.

    2. Awatar meto
      meto

      Najpier sie doinfomuj, a potem wyzywaj ludzi od frajerow, bo sam mozesz nim zostac.
      Sprawa ConnectU – Facebook jest otwarta i wyrok sadu dopiero powie jaka byla prawda (chyba, ze dojdzie do ugody).
      Wiele poteg internetu powstalo w niejasnych okolicznosciach, np.: Google.
      Generalnie polecam: Download: The True Story of the Internet

    3. Awatar X
      X

      "sfrustrowani frajerzy", "bajka", "lepszy". Skąd ta złość, rodak Zuckerberga idzie z odsieczą :D?

  5. Awatar Nerf
    Nerf

    Ten artykuł w ogóle nie powinien był trafić na stronę główną. Zero odnośników do źródeł, zero informacji o tym, skąd autor ma swoje rewelacje, tylko „pojawiły się doniesienia”. Co to jest, artykuł sponsorowany przez konkurencję?

    1. Awatar X
      X

      Jest odnośnik. Jakbyś go przeczytał, to byś się dowiedział, że była sprawa w sądzie.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *