Не так давно Facebook объявила, что технические специалисты компании обнаружили уязвимость, затрагивающую почти 50 миллионов аккаунтов. Из-за «дыры» в коде Facebook хакеры смогли «угнать» и использовать аккаунт, войдя в него так, как если бы это сделал настоящий владелец.

В корпорации заявили, что специалисты уже устранили вышеупомянутую проблему и сбросили ключи доступа для взломанных учётных записей, а также для 40 миллионов других аккаунтов, которые могли пострадать из-за данной уязвимости.

О степени нарушения безопасности практически ничего не сообщалось. В Facebook лишь отметили, что только начали расследование, призванное выявить факты неправомерного использования аккаунтов и имеющейся в них информации. Кто именно взломал систему и откуда проводилась атака, пока неизвестно.

Что это означает

Это не самая масштабная утечка данных на сегодняшний день. Своеобразный рекорд принадлежит кредитному агентству Equifax, допустившему кражу персональных данных из учётных записей 147 миллионов человек. Однако к сожалению, для Facebook этот взлом может иметь более серьёзные последствия.

Во-первых, корпорацию могут обвинить в нарушении Общего регламента о защите данных (GDPR), вступившего в силу в мае текущего года. Хотя под действие GDPR подпадают лишь резиденты Евросоюза, штрафы за утечку данных достаточно серьёзны – до 4% общего оборота за каждую утечку.

Во-вторых, любые учётные записи на других платформах, использующие для верификации пользователей данные аккаунтов Facebook, также могут быть взломаны. К примеру, аккаунты Facebook в качестве единой учётной записи для авторизации нередко используются пользователями Instagram, Твиттера и множества других интернет-сервисов.

Как работает единый вход в систему

Чтобы войти в какой-либо сервис, как правило, необходимо авторизоваться: обычно пользователю необходимо ввести свои учётные данные (логин и пароль). Если вы работаете с большим количеством интернет-сервисов, требующих авторизации, то рано или поздно возникает проблема с запоминанием множества разных – в идеале длинных и сложных – паролей.

Далеко не каждый человек способен запомнить десяток-другой непростых комбинаций букв, цифр и символов. Если у вас есть возможность авторизоваться в разных сервисах, используя данные учётной записи, в безопасности которой вы не сомневаетесь, то необходимость запоминать десятки паролей отпадает сама собой. Достаточно лишь одного. Этот принцип и лежит в основе единого входа в систему (SSO).

Но это работает только пока система, которой вы доверяете, безопасна. В противном случае киберпреступник сможет использовать взломанный аккаунт одного интернет-сервиса (в данном случае, Facebook), чтобы получить доступ к любому другому связанному сервису.

Что же делать?

Идентификация, как правило, работает на базе одного из трёх факторов:

  • чего-то, что знаете только вы, к примеру, логин и пароль;
  • чего-то, что имеется только у вас, скажем, карта доступа;
  • чего-то, что присуще только вам, скажем, отпечаток пальца.

Очевидно, что использование более чем одного фактора (двухфакторная и трёхфакторная аутентификация) существенно повышает уровень безопасности. В аккаунте Facebook можно использовать двухфакторную аутентификацию. Это означает, что для авторизации вам необходимо ввести свой пароль и код, полученный в SMS-сообщении.

Будущее верификации

Не секрет, что владельцам и пользователям сайтов нередко приходится делать выбор между удобством и простотой эксплуатации (юзабилити) и безопасностью. Однако они идут на подобные жертвы крайне неохотно. SSO – попытка добиться оптимального соотношения юзабилити и безопасности, но взлом Facebook свидетельствует о том, что это не панацея.

Зачастую люди выбирают простые и по этой причине небезопасные пароли, потому что многим они не нравятся. Помните, что у киберпреступников есть доступ к спискам миллионов общеупотребимых паролей (к примеру, «Гэндальф» не так уникален, как может показаться).

В свою очередь, карты доступа или другие физические устройства, используемые, к примеру, некоторыми банками, неплохое решение – пока не потеряются. Использование уникального физического признака (как средства аутентификации) является, пожалуй, оптимальным решением. В конце концов, отпечаток пальца, радужная оболочка глаза или голос всегда при вас.

По материалам Facebook hack reveals the perils of using a single account to log in to other services