Πως θα σου φαινόταν η ιδέα ένας υπάλληλος του Facebook να χρησιμοποιούσε τους κωδικούς που χρησιμοποιείς εσύ για την υπηρεσία και να μπαίνει στο λογαριασμό σου; Το σενάριο αυτό δεν απέχει και πολύ από την πραγματικότητα, καθώς μια νέα υπόθεση με οσμή σκανδάλου σκεπάζει το μεγάλο μπλε δίκτυο.
Όπως αποκάλυψε αρχικά ο δημοσιογράφος Μπράιαν Κρεμπς και εμμέσως πλην σαφώς παραδέχεται το Facebook σε ανάρτηση στο blog του, το Facebook διατηρούσε το αρχείο των κωδικών εκατοντάδων εκατομμυρίων χρηστών σε μη κρυπτογραφημένη μορφή, η οποία ήταν εύκολα αναγνώσιμη από τους υπαλλήλους του.
Σύμφωνα με τη βέλτιστη πρακτική ασφάλειας οι εταιρείες διατηρούν τα στοιχεία πρόσβασης των χρηστών στις υπηρεσίες τους σε κρυπτογραφημένη μορφή έτσι ώστε να μην είναι αναγνωρίσιμα ακόμα και από τις ίδιες. Όμως το Facebook, όπως αποδεικνύεται (και παραδέχεται) τα στοιχεία αυτά αποθηκεύονταν σε απλό κείμενο, γεγονός που σημαίνει ότι οποιοσδήποτε είχε πρόσβαση σε αυτό το αρχείο θα μπορούσε να τα διαβάσει και να τα χρησιμοποιήσει. Σύμφωνα με το ρεπορτάζ του δημοσιογράφου περισσότεροι από 20.000 υπάλληλοι είχαν πρόσβαση σε αυτό το αρχείο.
Ταυτόχρονα, στο ίδιο ρεπορτάζ γίνεται λόγος ότι ο εκτιμώμενος αριθμός των χρηστών που επηρεάζονται από τη συγκεκριμένη υπόθεση κυμαίνεται μεταξύ 200 και 600 εκατομμυρίων. Το Facebook στη δική του ανάρτηση δεν δίνει συγκεκριμένο αριθμό, ωστόσο αναφέρει ότι θα ειδοποιήσει εκατοντάδες εκατομμύρια χρήστες της εφαρμογής Facebook Lite (η εφαρμογή του Facebook στις αναδυόμενες αγορές), δεκάδες εκατομμύρια χρηστών της στάνταρ εφαρμογής καθώς και δεκάδες χιλιάδες χρήστες του Instagram.
Στην ανάρτησή του το Facebook σημειώνει ότι δεν έχει βρει κάποιο στοιχείο που να οδηγεί στο συμπέρασμα ότι υπήρξε κάποιου είδους κακόβουλης μεταχείρισης αυτών των στοιχείων, προσθέτοντας ότι το πρόβλημα ανακαλύφθηκε κατά τη διαδικασία μιας ανασκόπησης ρουτίνας στον τομέα της ασφάλειας που πραγματοποιήθηκε τον προηγούμενο Ιανουάριο.
Αξίζει να σημειώσουμε ότι αν επιβεβαιωθεί ότι το πρόβλημα ανακαλύφθηκε τον προηγούμενο Ιανουάριο και το Facebook ενημερώνει το κοινό στις 21 Μαρτίου, δηλαδή δύο μήνες μετά, τότε είναι βέβαιο ότι το μεγάλο μπλε δίκτυο κινδυνεύει, εκτός των άλλων, και με βαρύτατο πρόστιμο από την ΕΕ, λόγω παραβίασης των κανόνων GDPR. Υπενθυμίζεται ότι σε τέτοιες περιπτώσεις η σχετική οδηγία αναφέρει ότι η εταιρεία πρέπει να ενημέρωσει το κοινό όχι αργότερα από 72 ώρες μετά. Σε διαφορετική περίπτωση το πρόστιμο μπορεί να φθάσει έως και το 4% του παγκοσμίου τζίρου της επιχείρησης (κατά το προηγούμενο έτος).
Σχόλια