找回密碼註冊
作者: White
查看: 5220
回復: 0

文章分享:

+ MORE精選文章:

+ MORE活動推薦:

體驗極速WiFi 7!MSI Roamii BE Lite Mesh

第一名 guanrung1110 https://www.xfastest.com/thread-293988-1- ...

極致效能 為遊戲而生 990 PRO SSD 玩家體驗

[*]極致效能固態硬碟 [*]PCIe 4.0 速度大幅提升 [*]優化的電源效率 ...

Micron Crucial PRO D5 6400超頻版 玩家開

解銷更快的遊戲速度! 利用低延遲遊戲記憶體的強大功能 利用 Cruci ...

O11 VISION COMPACT 玩家開箱體驗分享活動

迷你身形 三面透視打造精緻PC視野新境界O11 VISION COMPACT 強強聯合 ...

打印 上一主題 下一主題

[業界新聞] Facebook 又出事了,明文存儲了 6 億用戶的密碼

[複製鏈接]| 回復
跳轉到指定樓層
1#
White 發表於 2019-3-22 17:38:39 | 只看該作者 |只看大圖 回帖獎勵 |倒序瀏覽 |閱讀模式

20190322-1.jpg

一種非常低級的做法。


本周四,網絡安全博客 Krebs On Security 撰文稱,Facebook 在未加密的情況下存儲了多達 6 億個用戶賬戶的密碼,並以明文形式存儲,公司員工可以隨時訪問。Facebook 隨後發表官方博客承認了這一做法。

Krebs On Security 引用要求匿名的 Facebook 員工的話說,從 2012 年至今,有將近 2-6 億 Facebook 用戶的賬戶密碼可能是以純文本形式存儲的,並且可被 2 萬多名 Facebook 員工搜索。

這名員工還表示,Facebook 仍在試圖確定有多少密碼被泄露,以及持續了多長時間。到目前為止,調查已經發現了部分檔案,其中包含 2012 年的純文本用戶密碼。

消息人士稱,Facebook 訪問日誌顯示,大約 2000 名 Facebook 工程師和開發人員對包含純文本用戶密碼的內容進行了大約 900 萬次內部查詢。“我們對數據進行分析的時間越長,Facebook 法律部人士的底線就越低。而且他們正在試圖僅計算我們目前數據庫裏的記錄,以使這個數字看起來小一點。”

Facebook 第二天發文承認了明文記錄用戶密碼做法。“在 1 月的例行安全審查中,我們發現一些用戶密碼以可讀格式存儲在我們的內部數據存儲系統中,”Facebook 撰文稱,“這引起了我們的注意,因為我們的登錄系統本應通過技術來屏蔽密碼,使其不可讀。我們已經修復了這些問題。為了提早預防,我們將通知相關用戶。“

但在 Facebook 的博客文章中,該公司沒有說明有多少用戶受到影響。根據消息人士提供的數據,6 億用戶占到了 Facebook 全球 27 億用戶的 22%。

Krebs On Security 消息人士的說法與 Facebook 官方博客的說法存在矛盾之處,比如 Facebook 的說法是今年 1 月之前並不知情,但消息人士稱 Facebook 內部有數千員工多年來對它進行了 900 萬次查詢,兩種說法不可能都是真相。

Facebook 軟體工程師斯科特·倫弗羅(Scott Renfro)在接受 Krebs On Security 採訪時表示,該公司還沒有準備好談論具體的數字,亦不方便透露訪問這些數據的員工人數。Facebook 計劃提醒受影響的用戶,但他們不需要重新設置密碼。

“到目前為止,我們還沒發現有任何人故意搜尋密碼,也沒有發現數據被濫用的跡象。在這種情況下,我們認為這些密碼是無意中被記錄下來的,並不存在由此帶來的實際風險。”倫弗羅說。

一直以來,Facebook 依賴廣告的商業模式決定了它必須通過搜集用戶數據來盈利,而這種商業模式也使得該公司經常在隱私問題上受到批評和罰款,比如導致它陷入長期輿論漩渦的“劍橋分析事件”。

相比 Facebook 之前的醜聞,明文記載用戶密碼雖然聽起來令人不適,但其實是一種非常低級的做法。Facebook 能夠用這麽多密碼來做什麽並不清楚。

但這種錯誤還是會讓 Facebook 在對隱私問題敏感的歐洲惹上麻煩。歐盟《通用數據保護條例》規定,相關公司應該在 72 小時內向受隱私泄露影響的人發布通知,並要求公司安全存儲密碼。對於如何準確定義“適當的安全級別”,這項法律並沒有給出明確定義,但歐盟委員會很可能認為,存儲在內部並可供大量員工搜索的純文本密碼並不符合標準。

如果這一事件真的可以追溯到 2012 年,那麽 Facebook 可能還需要對這些密碼進行濫用情況調查。盡管該公司博文否認了數據濫用的可能,但它很難確定有內部訪問權限的人離開公司後是否存在濫用密碼行為。

本月,Facebook 剛剛宣布了有史以來最大的一次業務轉型。馬克·祖克伯(Mark Zuckerberg)撰文稱,未來的社交媒體“將以私密通訊和小群體聊天為中心”,並強調 Facebook 將加密用戶聊天、賦予用戶定時刪除聊天記錄的能力等等,顯示該公司對隱私問題的重視。

祖克伯寫到:“我理解,許多人並不認為 Facebook 有能力甚至有意願建立這樣一個基於隱私的平台,因為坦率地講,我們目前在建立隱私保護服務方面的名聲並不好,而且我們過去專注於更開放的共享工具。但是我們已經一再證明,我們能夠不斷發展,打造出人們真正想要的服務,包括私人即時通訊和新聞。”

資料來源:SOURCE
您需要登錄後才可以回帖 登錄 | 註冊 |

本版積分規則

小黑屋|手機版|無圖浏覽|網站地圖|XFastest  

GMT+8, 2024-11-16 19:27 , Processed in 0.082009 second(s), 34 queries .

專業網站主機規劃 威利 100HUB.COM

© 2001-2018

快速回復 返回頂部 返回列表