Цукерберг слил миллионы паролей от Facebook и Instagram в незашифрованном виде
Итак, уважаемые читатели, настало время снова сбросить пароли от Facebook и Instagram, а также подключить двухфакторную аутентификацию, если вы не сделали этого раньше. Марк Цукерберг, похоже, не вынес необходимых уроков после разбора полётов с Cambridge Analytica и благополучно слил миллионы паролей (именно миллионы, сотни миллионов, а не десятки тысяч, как предполагали) в формате plain text, то есть в незашифрованном виде. Инцидент произошёл 21 марта, однако, с прошлого месяца ситуация резко изменилась в худшую сторону.
В последнее время купертиновцы набивают много шишек по части конфиденциальности и защиты пользовательских данных. Вчера мы написали про эксплойт для macOS, раскрывающий локальную Связку ключей. Ранее в шпионаже признался Facebook, который нарушил яблочные соглашения, а потом к аналогичной проблеме подключился и Google. Наконец, дело дошло до многострадальных групповых вызовов FaceTime, которые мало того, что любят появляться и исчезать из новых прошивок, так теперь ещё засветились с прослушкой, позволяя звонить и вступать в беседу до ответа целевого контакта. К счастью, в iOS 12.1.4 яблочники всё починили.
Специалист по сетевой безопасности Linuz Henze выложил видео (под катом), в котором наглядно продемонстрирована работа эксплойта, совершающего взлом Cвязки ключей в macOS Mojave. Взлом проводит авторская утилита под названием KeySteal, которая одним нажатием кнопки открывает доступ ко всем пользовательским паролям. Товарищ Henze, естественно, не стал распространяться насчёт алгоритма, однако, он также не сообщил самой Apple, где искать уязвимость. И его протест можно понять: яблочная программа поиска багов распространяется исключительно на iOS, и Кука с командой не заботит, что вот уже в который раз та же связка ключей подвергается успешной атаке.
