6亿用户明文密码,曾被内部查询900 万次
据CNBC报道,网络安全记者布莱恩-克雷布斯(Brian Krebs)周四的一份调研报告称,Facebook在未加密的情况下存储了多达6亿个用户账户密码,并以明文形式存储,公司数万名员工可以访问。
Facebook方面已经在一篇博文中承认了6亿用户密码被明文存储的事情。
Facebook内部人士表示,根据访问日志显示,大约2000 名工程师或开发人员对包含纯文本用户密码的数据元素进行了大约 900 万次内部查询。
在Facebook的27亿用户中,6亿用户已经占了相当大的比例。该公司周四表示,计划开始通知受到影响的用户,以便他们更改密码。
Facebook在周四的声明中表示:
作为1月份例行安全审查的一部分,我们发现,有些用户密码在我们的内部数据存储系统中以可读的格式存储。这引起了我们的注意,因为我们的登录系统利用使密码不可读的技术来屏蔽密码。我们已经修复了这些问题,但为了以防万一,我们将通知所有被发现以明文存储密码的用户。
Facebook:未发现任何滥用数据行为,不会带来实际风险
据报道,这一事件最早可以追溯到2012年。该公司可能还需要对这些密码是否被滥用进行大量调查。
Facebook负责工程、安全和隐私的副总裁佩德罗·迦南瓦蒂在一份回应中写道:
需要明确的是,这些密码在Facebook以外的任何人都无法看到,到目前为止,我们没有发现任何证据表明有人在内部滥用或不当访问了这些密码。
Facebook软件工程师斯科特·伦弗罗甚至表示:
我们认为这些密码是无意中被记录的,不存在由此带来的实际风险,不需要重新设置密码。只有在这些数据确实被滥用的情况下,才需要强制更改密码。
尽管Facebook表示,到目前为止没有任何证据表明存在内部滥用或不正当地访问密码的行为,但该公司将很难保证有内部访问权限的人离开公司后是否会滥用密码。
为什么1月发现的安全漏洞,直到3月才被公布?
Facebook安全负责人表示因为他们发现这些明文的密码并非是存储在一个地方,因此很可能是多种问题叠加导致的一个漏洞,问题的分散性使得问题的理解和解决变得更加复杂。Facebook不得不花了2个多月的时间来调查和解决这一问题。
按照《通用数据保护条例》规定,Facebook的最新事件无疑将触发审查,因为该条例要求相关公司在72小时内向受隐私泄露影响的人发布通知,并要求公司安全存储密码。对于如何准确定义“适当的安全级别”,这项法律有点含混不清,但欧盟委员会可能会认为,存储在内部并可供大量员工使用的纯文本密码可能并不符合标准。
频犯低级错误,扎克伯格被打脸
在任何一家互联网或移动互联网公司里,只要问起一位程序员应该如何存储密码时,都会得到必须要加密或者进行哈希算法处理后再存放的答案,这是互联网数据安全管理的常识。但这种常识性的安全漏洞,却发生在了Facebook这家在全球拥有数十亿用户的社交巨头身上。
今年3月初Facebook创始人兼CEO扎克伯格还在发表长篇大论表示公司要走私密社交的战略方向,如今爆料出来的消息,显然对小扎来说是一次结结实实的打脸。
曾有媒体报道说扎克伯格想要打通Facebook、Instagram和WhatsApp的底层通信机制,此举可以让三个平台的用户互相发消息,这倒是大胆的设想,如此一来三个APP就会成为一个超级APP,但从Facebook目前在互联网安全保障机制工作来看,扎克伯格的设想似乎要经历更多的技术考验,才能真正的实现。
巧合的是,本周四正好是Facebook被曝出剑桥分析泄露用户隐私事件整整一周年的日子,看来一年过去了,Facebook的用户隐私安全保护机制依旧未见长进,必须采取行之有效的手段加以健全。
本文整理自站长之家等多家媒体报道,如涉及侵权,请及时与我们联系,我们会在第一时间删除或处理侵权内容。电话:400-869-9193 负责人:张明
及时掌握网络安全态势,尽在傻蛋联网设备搜索系统,更多安全资讯请关注:
微信公众号【安数网络】;新浪微博【@傻蛋搜索】
及时掌握网络安全态势 尽在傻蛋网络安全监测系统
本文来源:网络
如涉及侵权,请及时与我们联系,我们会在第一时间删除或处理侵权内容。
电话:400-869-9193 负责人:张明
工商执照