Guia do Iniciante para certificados SSL
Bods segurança do Facebook rotineiramente arrasto públicas locais "Colar" para endereços de email e senhas roubadas de seus usuários, como parte de um esforço para flanquear os malfeitores tentam invadir dados pessoais na rede ad conteúdo gratuito.
No entanto, a empresa Mark Zuckerberg prazo teve o cuidado de salientar que a batalha sorver dados com a web escuro não levou ao Facebook armazenar senhas de seus usuários em texto simples.
"Infelizmente, é comum para os atacantes para postar publicamente os endereços de email e senhas que eles roubam em sites públicos 'Colar'", disse o engenheiro de segurança do Facebook Chris Long em um post no blog .
"Muitas nomes de empresas domésticos têm experimentado o fenômeno desagradável de ver os dados da conta para seus sites aparecem nessas listas públicas, e responder a estas situações é demorado e desafiador."
O roubo de dados on-line é agora um grande negócio, por isso Facebook desencadeou máquinas para tentar resolver o problema, Whack-a-mole estilo, antes de se tornar uma enorme dor de cabeça para o império em silos de Zuck.
O sistema bastante deselegante peneira automaticamente através de sites, presumivelmente como Pastebin.com, a olhar para as instâncias onde os detalhes da conta do Facebook, incluindo endereços de email e senhas, são compartilhados publicamente online.
Longo explicou que a empresa globos oculares relatos de "grandes violações de dados escala" e monitora uma série de sites de pasta de credenciais roubadas. Em seguida, ele raspa automaticamente os detalhes, antes de comparar as informações com o seu próprio sistema de pesquisa para jogos assim como o Facebook pode, então, dizer a um usuário, onde ocorreu o roubo de dados.
Ele acrescentou:
Este é um processo totalmente automatizado que não requer que saibamos ou armazenar sua senha atual do Facebook de forma unhashed. Em outras palavras, ninguém aqui tem a sua senha de texto simples. Para verificar se há jogos, vamos dar o endereço de e-mail e senha e executá-los através do mesmo código que usamos para verificar a sua senha no momento do login.
Se encontrar uma correspondência, nós vamos notificá-lo da próxima vez que você faça o login e guiá-lo através de um processo para alterar sua senha.
Os dados são analisados em um formato padronizado, disse Long. Sistema do Facebook que verifica automaticamente a cada potencial violação contra os seus bancos de dados internos para ver se os jogos podem ser encontrados.
"Nós botar cada senha usando o algoritmo de hash da senha interna eo sal original para essa pessoa. Desde que as lojas Facebook senhas com segurança como hashes, não podemos simplesmente comparar uma senha diretamente para o banco de dados. Precisamos hash-lo primeiro e comparar os hashes ", disse ele.
O Facebook não informar ao usuário se os jogos não são encontrados em seu sistema, mas ele tem um procedimento no lugar onde essas violações foram assinalados. Facebookers são informados da violação e solicitado a digitar uma nova senha, disse Long.
A estratégia de segurança foi revelada pelo Facebook depois de um fraudador veiculado publicamente que era suposto ser um cache de nada menos que 7.000.000 credenciais de login Dropbox no Pastebin. ®
Nenhum comentário:
Postar um comentário