Kétfaktoros hitelesítés. Ennyi.

Nem, a plain-text formában történő jelszótárolást kell fővesztéssel büntetni.

Nincs más - csak egy szál gitár - szidom a rendszert - forradalmár. - Én vagyok egyedül 88 telén. (Auróra)

Ezt szurted le? Izlelgesd ezt a mondatot kerlek : a facebook biztonsagi es adatvedelmi vezetoje szerint nem jelent kockazatot az, hogy a facebook munkatarsai !teljes hozzaferessel! rendelkeztek nehany szaz millio profilhoz.

Meg maga a plain text is lenyegtelen a lenyeget tekintve, mert a lenyeg az, hogy megis mi a picsaert tud belepni egy fb alkalmazott egy random profilba ? Nemhogy plainben nem kellene tudniuk egyetlen jelszot sem, hanem osszesegeben nem tudhatnanak egyetlen jelszot sem. Semmilyen formaban.

[ Szerkesztve ]

"Those who would shave the beard for pussy deserve neither the beard or the pussy." - Ben Franklin, probably

Hát ez elég sajnáltos eset.
Mi a gari arra, hogy a belső hálóból nem kerültek ki az adatok? (Nyalván költői a kérdés)

[ Szerkesztve ]

Szabad országban, szabad ember, szabad akaratából azt mond és azt tesz...amit szabad. UDS Ignition.

Szoktam mondani, hogy FB kapcsán már nem tudnak semmilyen hírrel meglepni, de ez most nagyon fájt. Felesleges azzal védekezni, hogy "na de biztonságos belső hálózaton volt", már az rég fejvesztést jelentő probléma, hogy volt!! Ja és csak laza 20 ezer ember fért hozzá

"Fuck the Kingsguard, fuck the city....Fuck the king!"

Gondolj bele, ha mindez a Twitterrel történik, és kiderül, hogy mondjuk Donald Trump Twitter-fiókjának jelszavához is hozzáférhetett éveken keresztül párezer (vagy tízezer) Twitternél dolgozó emberke egy sima plain text fájlban... Jelen helyzetben ha nagyvezírek jelszavai esetleg nem is (bár erre nem vennék mérget), de véleményformáló emberek, kisebb-nagyobb kaliberű politikusok, üzletemberek, hatóságok vezetőinek jelszavai tuti benne voltak egy ekkora, százmilliós nagyságrendű merítésben. Az pedig már simán lehet nemzetbiztonsági kockázat is - bármelyik országban.

[ Szerkesztve ]

Azt majd a Facebook intézi, arra nincs ráhatásom.

Igen, EZT szürtem le. Mivel, mint fentebb is írtam, NINCS ráhatásom a Facebook belső adatkezelésére, ezért a LEGTÖBB , amit tehetek, hogy bekapcsolom a kétfaktoros hitelesítést (ami már évek óta megvan), hogy akármely alkalmazott ne tudja eladni a jelszavamat, ahogy az ugye más cégnél már megtörtént, vagy ne tudjon belépni vele. Ennyi.
A többi felesleges szájtépés, amit pár ittlévő fórumtárson kívül a kutya nem olvas.

Én értelek, csak mégse gondolom azonos súlycsoportnak a kettőt. Twitter eleve a funkcióját tekintve publikus postok, tartalmak megosztására van. Nem üzengetnek egymásnak privát szuper-szenzitív infót, vagy ha mégis az ritka, mert nem erre találták ki.

FB-n az ember kapcsolatokat tart fenn, személyes élményt/contentet oszt meg a bizalmasaival, vagy olyannal akivel bizalmas viszonyba akarna kerülni. Egy twitter jelszó megszerzése csak akkor nettó profit, ha a fiók tulajdonosa olyan barom, hogy más accountjához is azt az egy jelszót használja többlépcsős autentikáció nélkül.

"Fuck the Kingsguard, fuck the city....Fuck the king!"

A twittert csak gondolatkísérletként hoztam fel, hogy ott az előbb felvázolt esetben biztosan fejek hullanának (talán szó szerint is), mert Trump a twitteren randalírozik.

Viszont sokan használják hivatalos megnyilvánulási formára is a Facebook-ot, vagy legalábbis a köznép annak tekinti. Hogy mást ne mondjak, ott van Lázár János bécsi videója, de hosszan lehetne folytatni a sort. Ilyen szempontból tartom veszélyesnek ezt az incidenst. A kétlépcsős bejelentkezés meg akkor ér valamit, ha a Facebook nem írja ki a telefonszámod az összes ismerősödnek és/vagy azok ismerőseinek a kedves politikus jobban foglalkozik a biztonsággal, mint egyes katonai bázisok állítólag ilyen téren is képzett személyzete.

[ Szerkesztve ]

"hogy akármely alkalmazott ne tudja eladni a jelszavamat, ahogy az ugye más cégnél már megtörtént, vagy ne tudjon belépni vele" --> Ha valamelyik alkalmazott odáig jut, hogy eladja a jelszavad, lehet a 2 faktoros auth-ot is kikapcsolhatja a FB-odban egy időre, de lehet az egész FB oldaladat is összecsomagolja és elküldi valakinek...

Nem értem hogy nem perelték még sz@rrá a FB-ot az ilyenek miatt

A költői kérdésre gondolom te is tudod a választ. A felhasználók elsöprő többségét nem érdekli az adati biztonsága.

Légvédelmisek mottója: Lődd le mind! Majd a földön szétválogatjuk.

és a biztonságos belső hálón biztos nem megy a print screen, akár analóg módon is...

Bogár nélkül lehet élni, de minek?!_______________________________________________ Elnézést, hogy nem illik bele a véleményem a világképedbe.

Igen, nyilván így van, saját cégünknél is tapasztalom ezt...
Másrészről GDPR szempontból nem tudom mennyire helyes ez a plain-text alapú jelszó tárolás.. na mind1, nekem Facebook fiókom sincs, így nem osztom tovább az észt ebben a témában

[link]

Arról nem beszélve hogy nagyon sokan ugyanazt vagy hasonló jelszavakat használnak a neten a különböző oldalakon, ergo ha valakinek tudod a FB jelszavát és mondjuk nevet vagy e-mail címet, akkor könnyen vissza lehet élni vele. Egy adathalásznak, social engineering oldalról ez terülj terülj asztalka. Ha jól olvastam, azt is kiderítették, hogy rengeteg lekérdezés történt a 20000 felhasználó részéről ezen az adatbázison. Elég ha csak pár százaléka volt ezeknek a felhasználóknak rosszindulatú.

Az külön ijesztő, hogy állítólag csak véletlenűl botlottak a dologba. Ezek szerint az FB története során még soha sem volt átfogó ellenőrzés arra, hogy miként vannak tárolva az ilyen érzékeny adatok...illetve hogy ezek szerint szabályozva sem volt sehogy az FB IT részéről. Sőt ezek szerint a regisztrációs, jelszókezelő, beléptető kód is úgy lett megírva, hogy sima textbe mentsen és onnan olvasson. Ergo holnapután, vagy 2 év múlva megint találhatnak valami hasonlót.

Már nem használok FB-t, de kapják be. Remélem, hogy megtalálja őket az EU GDPR oldalról és kapnak pár milliárd dolláros büntetést.

Az a baj a világgal, hogy a hülyék mindenben holtbiztosak, az okosak meg tele vannak kételyekkel.

Eleve... miért tárolnak jelszavakat, miért nem csak hash-t? Oké, nem vagyok naiv, csak ez úgy kikéredzkedett belőlem...

Erre a sok információra írnak egy szoftvert 99% feltörik bárkinek a fiókját.
Végül is kinek nncs manapság facebookja? Még nagyinak is van baszki és erre egy algoritmust írni garantált fióktörés.

Valaki biztos sok pénzt keresett vele és már nem is kell a facebooknak robotolnia csak copy paste eladni

12600KF/ROG Strix 4070ti/ROG Strix B660/Noctua NH-D15S/ROG Strix AuraEdition 850W/SamsungOdysseyG7 32" 1440p/ThermaltakeTower900/RazerViper8K/F4-3200C14D-16GFX(FlareX)/Kingston A2000

Na ja én nem adom meg ilyen szar oldalnak meg alapból idegesítő mi köze van hozzá.

12600KF/ROG Strix 4070ti/ROG Strix B660/Noctua NH-D15S/ROG Strix AuraEdition 850W/SamsungOdysseyG7 32" 1440p/ThermaltakeTower900/RazerViper8K/F4-3200C14D-16GFX(FlareX)/Kingston A2000

"az érzékeny adatok csakis a belső hálózaton voltak elérhetőek, és nincs arra utaló jel, hogy visszaéltek volna velük"

Most komolyan, ez h*lye, vagy annak próbál nézni mindenkit?

A facebooknak egyetlen felhasználója van: Mark Zuckerberg.

Meggylekváros tejberizs a mai vacsi. Ha ezt közzéteszed a "faladon", holnaptól meggylekváros hirdetéseket fogsz kapni, akár tetszik akár nem.

Valahogy ezeket a dolgokat én annyira érzem és sejtem... Csak ha leírom, akkor paranoid idiótának voltam nézve mindig. Erre tessék.

Egy ilyen kaliberű oldalnál (amit egy ennyire gerinctelen ember alkotott) az lett volna a durván meglepő, ha egy ekkora ziccert nem használnak ki.

Hiszen még a 2000-es években bőven plain textben tárolták a jelszavakat, gyakran még GET-ben is küldtek érzékeny infókat POST helyett. Vagy sütiknél kliensoldalon módosítottál valamit, aztán másik ember user accountjában voltál és hasonlók. Vagy rosszul beállított htaccessnél hozzáférés a teljes FTP tartalmához.

És ezek csak azok, amiket én, mint laikus, max power user csak néztem, hogy WTF?

Akkor csak belegondolok abba, hogy az igazán nagy koponyák (akár itt is a PH-n) akik több programnyelvet vágnak expert szinten, hálózati téren mesterek, esetleg a kriptográfiában zsenik, ők mit tudhatnak meg mi mindenhez férhetnek hozzá (már ha akarnak)...

Részemről ez a egész csak egy újabb "véletlenül kiderült" cirkusz a hülye tömegeknek, legyen min csámcsogniuk, addig sem foglalkoznak még véletlenül sem a valódi problémákkal.
Megint überkirálynak érezheti magát az egyszerű véglény, hogy ő mekkorát lázad és különben is soha nem is használt faszbukot, "különben is ő megmondta", meg lehet megint szidni valakit, addig sem kell tenni semmit. Ésatöbbi, ésatöbbi...
Akinek nem inge...

Megvan az már nekik...
Ahogy az enyém is

[ Szerkesztve ]

HR24.hu

Ízlelgettem a mondatot úgy 4 óra alvás után részben igaza volt .Nem hazudott az a "pár fészbuk " alkalmazott minimális kockázatot jelentett , azokkal lehet gond akinek eladták és odaadták pendrive-on .Szerintem amúgy hiába büntetnék őket akármennyi pénzel kiröhgnék csak ...ellenben teszem azt becsukni egy hétre a fészbukot meg a messengert azt észrevennék...

neked ez a mai nevezésed amivel a prolik fole helyezed magad?

haaat, nem sok....

"ugyanitt hazájából elüldözött nigériai herceg aranybányájának tulajdonjogát megtestesítő NFT jegyezhető."

Azért tárolták így mert az amerikai kormányhivatalnak könnyebb dolga van a hozzáféréshez. Ez egy előkészített állomány amit időközönként elküldtek nekik. Mert ugye a "nemzetbiztonság" az fontosabb mint az egyéni adatvédelem.
Én csak sajnálom azokat akik mindenáron eröltetik ezt az oldalt, hiszen önként és dalolva adják oda az adatokat ez egy jellemzően 1bit-es hozzáállás........

Ha minden porcikád átsejlik ruhádon, akkor nincs jogod méltatlankodni ha bámulják a melleidet! RMX3301

Az a gáz, hogy akkor is van rólad profil, ha nem vagy regelve. Az ismerőseid által megadott adatokat is lehet kombinálni.

[ Szerkesztve ]

Egyszer,régebben amikor már töröltem fbokot,valamit meg szerettem volna nézni : gyorsqn csináltam accot(nagyon fals adatokkal).megnéztem majd 3 hét után feltévedtem ismét képet tett fel valaki,csetelt rajta,stb...mondom köszi FB. Azóta valahogy másként nézek a világra.
Más - autóhirdetéseket néztem,persze közben ment a G+ ,na akivel beszéltem rajta,másnap már neki dobta fel a hírdetéseket...ez az elmélet úgy megáll,mint 100.-as szög falban.

Horgászni mentem...B.i.L

"értesítik az érintett felhasználókat (Facebook, Facebook Lite, Instagram), hogy ha kívánják, változtassanak jelszót."

És mi értelme lesz? Majd azt is leteszik text-be.

[ Szerkesztve ]

Azért az eredeti kommentben elég félreérthetően fogalmaztál, fusd át mégegyszer, van egy olyan olvasata ami szerint mindenki véglény aki nem használ facebookot.

A nem inge dolog meg már évtizedek óta illetlen mosakodás, pl ha azt mondom hogy minden informatikus szőrös, büdös, és túrja az orrát, persze akinek nem inge, akkor azzal az eredeti állítást nem cáfoltam.

Szóval úgy gondolod, hogy a cég által nyújtott kétfaktoros authentikáció megvédi az adataidat a cég dolgozóitól miközben szándékosan olyan funkciók vannak beépítve a beléptető rendszerbe amelyek eltárolják a jelszavadat clear textben és céges policy azt elérhetővé teszi többezer dolgozónak?
És a legtöbb amit tehetsz az nem csak annyi, hogy bekapcsolod a two factort. A legtöbb amit tehetsz az az, hogy nem használod azt a sz@ros oldalt!

Aki hülye, haljon meg!

múltkor azzal is volt valami para fb-n hogy az így megadott telefon számokat eladták marketing célra.

arról nem beszélve hogy legtöbbször nem küldte a rendszerük az SMS-t. Google, Microsoft esetén ilyen soha nem volt, ott mindig azonnal jön.

[ Szerkesztve ]

A cég dolgozóitól nem véd meg. a Nagyobb veszély ha valaki a 20K alkalmazottból továbbadja jó pénzért a jelszavakat és az a valaki már nagyobb probléma.
FB alkalmazottakban ha bizunk picit hogy személyesen ők nem akarnak galibát okozni max pénzt csinálni belől akkor kis védelmet ad a 2 faktor. Azt ha leszedi a FB alkalmazott az nagyon feltűnő jelenség lenne. nem kockáztatnak ekkorát.
Ettől függetlenül hiába a FBn a 2 faktor ha valaki máshova nem 2 faktorral használja ugyanazt a jelszót...

Mondjuk ilyen esetekkor olyan kellemes érzés, hogy nincs fb-om!

Azért, mert a legtöbb embernek fogalma sincsen arról, hogyan működik egy informatikai rendszer, ellenben vevők a szenzációra.

Nagyobb rendszerekben szokás, hogy megfelelő jogkörrel rendelkező fiókok akár meg is tudják személyesítni mások fiókját, pont azért, mert nem a felhasználó jelszavával lépeketnek be debuggolni.

Egyébként a hír bulvár tartalmát kb senki sem veszi észre: az eredeti blogpostban nem az szerepel, hogy felhasználó és név párosok listája található abban a külön adatbázisban, hanem csak a jelszavak. Talán éppen ezért nem kell senkinek jelszót cserélnie. Hogy mire kellett nekik, azt nem tudom, de ötlet szinten, például elemezni, hogy mennyire idióta jelszavakat választanak a felhasználók... esetleg bonyolultság visszajelzőt tanítani. Jobban elolvasva, valamilyen belső loggolásba került bele a jelszó.

De szerintem essen pánikba mindenki, akinek 4 jegyű pinkódja van a bankkártyájához, mert az összes pinkód kiszivárgott [link]

Egyébként Pali is beszopta, mert "bejelentkezési adatai" -ról beszél, miközben az eredeti postban ez nem szerepelt. Viszont érezhetően olyan annak a megfogalmazása, hogy félreérthető legyen.

[ Szerkesztve ]