Facebook fick upprepade varningar om en säkerhetsbrist som skulle kunna leda till ett intrång. Det var Facebooks egna anställda som slog larm, anlitade konsulter slog larm och Facebook fick även varningar från externa säkerhetsexperter. Detta framgår av domstolsdokument och vittnesmål som brittiska The Telegraph har tagit del av.
Siffrorna om hur många som drabbades, påverkades och hur många konton som egentligen berördes varierar men upp mot 90 miljoner användare uppmanade satt byta lösenord, vilket inte är detsamma som att deras uppgifter verkligen hamnat i orätta händer. Klart är att det handlade om ett intrång med omfattande följder där miljontals kontouppgifter kan ha stulits.
Förhindrats
Ett intrång som att döma av vittnesmålen från Facebooks egna anställda hade kunnat förhindras.
Facebook knew about a huge security flaw that let hackers to steal personal data from millions of its users almost one year before the crime, yet failed to fix it in time, the Telegraph can reveal.
Legal documents show that the company was repeatedly warned by its own employees as well as outsiders about a dangerous loophole that eventually led to the massive data breach in September 2018.
Despite this, the loophole remained open for nine months after it was first raised, leading employees to later speak of their ”guilt” and ”hurt” at knowing that the attack ”could have been prevented”.
Inte ovanligt
Tyvärr är detta inte helt ovanligt. Säkerhetsansvariga hamnar ibland i en sits där budgetar, investeringar och krav på vinster går före säkerhetsarbetet. I strid med andra avdelningar så prioriteras inte säkerhetsarbetet men det hör inte till vanligheterna att direkta larm negligeras. Lyssnar du inte på dina egna så är du riktigt illa ute därför att om du inte låter dina anställda göra och sköta sitt jobb så hart du gjort en frivolt ned i diket. Facebook fick en rad varningar av egna anställda, anlitade konsulter och även från kunniga utifrån som hörde av sig. Alla dessa varningar negligerades trots att Facebook fick vet var bristen fanns, hur den skulle kunna exploateras och vad som behövde göras för att åtgärda säkerhetshålet.
Facebook valde att inte åtgärda säkerhetsbristen vilket resulterade i ett av de största och allvarligaste intrången på senare år. Utifrån, för det ska understrykas att detta är en utomståendes intryck, så gör ju det att Facebooks tal om att de tar sina användare säkerhet på största allvar ich att de ser allvarligt på det inträffade i ett helt annat ljus. Det gör också att det kan finnas skäl till att ifrågasätta kulturen, organisationen och hela hanteringen av säkerhet inom Facebook.
Fundamentala
Lyssnar du inte på dina egna och negligerar du varningar under nio månader så finns det fundamentala brister i hela hanteringen av buggrapporter vilket är ytterst allvarligt med tanke på att antalet användare, dagligen, handlar om hundratals miljoner.
