Xakep #305. Многошаговые SQL-инъекции
Представители компании Facebook незаметно обновили пресс-релиз, связанный с произошедшим в марте скандалом. Тогда известный ИБ-журналист Брайан Кребс (Brian Krebs) сообщил в своем блоге, что компания много лет сохраняла на своих серверах пароли пользователей Facebook Lite, Facebook и Instagram. Хуже того, пароли хранились в формате простого текста, свободно доступные тысячам сотрудников социальной сети.
Тогда Кребс писал о 200-600 млн потенциальных пострадавших, и Facebook признала, что действительно хранила пароли, однако не назвала конкретных цифр. Мартовский пресс-релиз компании гласил, что инцидент затронул сотни миллионов пользователей Facebook Lite, десятки миллионов пользователей Facebook и десятков тысяч пользователей Instagram.
18 апреля 2019 года компания незаметно обновила это заявление, признав, что изначально недооценила масштаб проблемы. Теперь в тексте говорится уже о миллионах пострадавших пользователей Instagram, чьи пароли «в читаемой форме» оседали на серверах социальной сети.
Многие ИБ-эксперты и отраслевые СМИ усмотрели в этом повод для публикации очередной порции критики в адрес Facebook. Дело в том, что компания по-прежнему не раскрывает данные о точном количестве пострадавших, и похоже, пыталась не привлекать внимания к обновленному пресс-релизу. Многие издания и вовсе пишут (1, 2), что заявление об инциденте неспроста было обновлено именно 18 апреля. Дело в том, что вчера был опубликован доклад спецпрокурора Роберта Мюллера об итогах расследования о возможном российском вмешательстве в выборы президента США. К документу приковано внимание всех СМИ мира и, похоже, в Facebook надеялись, что на этом фоне возросший масштаб их утечки данных останется незамеченным.