Immagini Getty
I funzionari irlandesi hanno multato Meta di 101 milioni di dollari per aver archiviato centinaia di milioni di password degli utenti in testo semplice e averle rese ampiamente disponibili ai dipendenti dell'azienda.
Meta ha rivelato la vulnerabilità all'inizio del 2019. La società ha affermato che le applicazioni di comunicazione per vari social network di proprietà di Meta hanno registrato le password degli utenti in testo semplice e le hanno archiviate in un database che è stato cercato da quasi 2.000 ingegneri dell'azienda, che hanno chiesto collettivamente informazioni più dettagliate. informazioni. Più di 9 milioni di volte.
Meta è stata indagata per cinque anni
I funzionari di Meta dissero all'epoca che il bug era stato trovato durante un controllo di sicurezza di routine delle pratiche di archiviazione dei dati della rete interna dell'azienda. Hanno continuato affermando di non aver scoperto alcuna prova che qualcuno abbia effettuato un accesso improprio ai codici di accesso o che i codici di accesso siano mai stati disponibili a persone esterne all'azienda.
Nonostante queste assicurazioni, la rivelazione ha rivelato un grave fallimento della sicurezza da parte di Meta. Per più di tre decenni, la migliore pratica in quasi tutti i settori è stata quella di crittografare le password. Hashing è un termine applicato alla pratica di passare le password attraverso un algoritmo di crittografia unidirezionale che assegna una lunga stringa di caratteri univoci a ciascuna voce univoca di testo in chiaro.
Poiché la conversione funziona solo in una direzione, dal testo in chiaro all'hash, non esiste un modo crittografico per riconvertire l'hash in testo in chiaro. Più recentemente, queste migliori pratiche sono state applicate da leggi e regolamenti nei paesi di tutto il mondo.
Poiché gli algoritmi di hashing funzionano in una direzione, l'unico modo per ottenere il testo in chiaro corrispondente è indovinare, un processo che può richiedere una notevole quantità di tempo e risorse computazionali. L’idea alla base dell’hashing della password è simile all’idea dell’assicurazione contro gli incendi per una casa. In caso di emergenza, ad esempio una violazione del database delle password in un caso o un incendio domestico nell’altro, la protezione isola le parti interessate da danni che altrimenti sarebbero più gravi.
Affinché gli schemi di segmentazione funzionino come previsto, devono seguire una serie di requisiti. Il primo è che gli algoritmi di hashing devono essere progettati in modo tale da richiedere grandi quantità di risorse di calcolo. Ciò rende gli algoritmi come SHA1 e MD5 inadatti, perché sono progettati per eseguire l'hashing dei messaggi rapidamente con un'elaborazione minima richiesta. Al contrario, gli algoritmi progettati specificamente per l’hashing delle password, come Bcrypt, PBKDF2 o SHA512crypt, sono lenti e consumano grandi quantità di memoria ed elaborazione.
Un altro requisito è che gli algoritmi debbano includere il “salting” crittografico, in cui una piccola quantità di caratteri extra viene aggiunta alla password in testo normale prima che venga sottoposta ad hashing. La salatura aumenta il carico di lavoro necessario per crackare l'hashish. L'hacking è il processo di passaggio di un gran numero di ipotesi, spesso misurate nell'ordine di centinaia di milioni, attraverso l'algoritmo e di confronto di ciascun hash con quello trovato nel database compromesso.
L'obiettivo finale dell'hashing è archiviare le password solo in formato hash e mai come testo semplice. Ciò impedisce sia agli hacker che agli addetti ai lavori malintenzionati di poter utilizzare i dati senza dover prima spendere grandi quantità di risorse.
Quando Meta ha rivelato questa vulnerabilità nel 2019, era chiaro che l’azienda non era riuscita a proteggere adeguatamente centinaia di milioni di password.
Graham Doyle, vice commissario della Commissione irlandese per la protezione dei dati, ha dichiarato: “È ampiamente accettato che le password degli utenti non dovrebbero essere archiviate in testo semplice, tenendo presente i rischi di uso improprio che derivano dall'accesso di persone a questi dati”. Ha detto. “Bisogna tenere presente che le password, oggetto di considerazione in questo caso, sono particolarmente sensibili, poiché consentiranno l'accesso agli account degli utenti sui social media.”
Il comitato ha indagato sull'incidente da quando è stato rivelato da Meta più di cinque anni fa. L'agenzia governativa, che è il principale regolatore dell'UE per la maggior parte dei servizi Internet statunitensi, ha imposto questa settimana una multa di 101 milioni di dollari (91 milioni di euro). Ad oggi, l'Unione Europea ha multato Meta per oltre 2,23 miliardi di dollari (2 miliardi di euro) per violazioni del Regolamento generale sulla protezione dei dati (GDPR), entrato in vigore nel 2018. Questo importo include la multa record dello scorso anno di 1,34 miliardi di dollari (1,2 miliardi di euro). euro). , che è meta attraente.
“Creatore. Piantagrane. Amante dell’alcol hardcore. Evangelista del web. Praticante di cultura pop estrema. Studioso zombi devoto. Introverso accanito.”
