来源: 时间:2022-11-02 19:35:09
Facebook在一名安全研究人员揭露了这一失误后,于周四承认,Facebook留下了数百万个用户密码可供员工阅读。
通过以可读的纯文本存储密码,Facebook违反了基本的计算机安全惯例。这些要求组织和网站以加扰的形式保存密码,这几乎无法恢复原始文本。
记录未来的网络安全专家安德烈·巴里塞维奇 (Andrei Barysevich) 表示: “没有正当理由说明组织中的任何人,特别是Facebook的规模,都需要以纯文本形式访问用户的密码。”
Facebook表示,没有证据表明其员工滥用了对这些数据的访问。但是成千上万的员工可能已经搜索了他们。该公司表示,密码存储在公司内部服务器上,外部人员无法访问它们。即便如此,一些隐私专家建议用户更改其Facebook密码。
该事件揭示了一家公司的另一个巨大而基本的监督,该公司坚称自己是全球23亿用户个人数据的负责任监护人。
安全博客KrebsOnSecurity表示,Facebook可能已经使一些6亿Facebook用户的密码变得脆弱。在一篇博客文章中,Facebook表示,它可能会通知 “数亿” Facebook Lite用户、数百万Facebook用户和数万Instagram用户他们的密码以纯文本存储。
阅读此处Facebook Messenger获取报价和回复功能: 报告
Facebook Lite是为拥有旧手机或低速互联网连接的人设计的版本。它主要用于发展中国家。
上周,Facebook首席执行官马克·扎克伯格 (Mark Zuckerberg) 吹捧了社交网络的新 “以隐私为中心的愿景”,该愿景将强调私人交流而不是公共共享。该公司希望鼓励一小群人进行加密的对话,而Facebook和其他任何局外人都无法阅读。
然而,该公司无法做到像加密密码这样简单的事情,这一事实引发了人们对其完美无缺地管理更复杂加密问题 (如消息传递) 的能力的质疑。
Facebook表示,它在1月发现了这个问题。但是安全研究员Brian Krebs写道,在某些情况下,密码是以纯文本2012年存储的。Facebook Lite推出2015年,Facebook收购了Instagram 2012年。
根据Facebook的说法,这个问题不是由于一个错误造成的。它说,在1月的例行审查中,它发现纯文本密码被无意中捕获并存储在其内部存储系统中。这种情况发生在各种情况下 _ 例如,当应用程序崩溃并且生成的崩溃日志包含捕获的密码时。
但是Hold Security的创始人亚历克斯·霍尔登 (Alex Holden) 表示,Facebook的解释并不是草率的安全做法的借口,这种做法允许内部暴露如此多的密码。
在此处阅读Facebook不会让广告商仅针对某些种族,性别或年龄段
Recorddefuture的Barysevich表示,他不记得有任何大公司被发现暴露了这么多密码。他说,他已经看到了许多情况,规模较小的组织不仅向程序员而且向客户支持团队提供了此类信息。
运营 “haveibeenpwned.com” 数据泄露网站的安全分析师特洛伊·亨特 (Troy Hunt) 表示,这种情况可能会让Facebook感到尴尬,但除非对手获得密码,否则情况并不危险。Facebook发生了重大漏洞,最近一次是在9月,攻击者访问了大约2900万个帐户。
Rendition Infosec总裁杰克·威廉姆斯 (Jake Williams) 表示,以纯文本存储密码 “不幸的是,比大多数行业谈论的更普遍”,并且在开发人员试图消除系统中的错误时往往会发生。
他说,Facebook博客文章暗示以纯文本存储密码可能是 “一种被认可的做法”,尽管他说这也可能是 “流氓开发团队” 的罪魁祸首。
亨特 (Hunt) 和克雷布斯 (Krebs) 都将Facebook的失败比作去年在Twitter和GitHub上规模较小的类似失误; 后者是开发人员存储代码和跟踪项目的网站。在这些情况下,由于在内部日志中意外存储了明文密码,因此归咎于软件错误。
该公司周四在其博客文章中指出,Facebook的密码正常程序是存储编码后的密码。
安全研究员罗伯·格雷厄姆 (Rob Graham) 说,尽管Facebook工程师显然添加了击败了safeguard的代码,但很高兴知道这一点。他说: “他们的门上有所有合适的锁,但有人开着窗户。”
相关推荐
猜你喜欢