投递人 itwriter 发布于 2019-03-22 08:00 原文链接 [收藏] « »

  腾讯科技讯,3 月 22 日消息,据外媒报道,国外网络安全博客 Krebs On Security 发现,数以亿计的 Facebook 用户账户密码将存储在纯文本中,而数千名 Facebook 员工可以搜索到这些密码。在某些情况下,这种行为甚至可以追溯到 2012 年。Facebook 表示,到目前为止,该公司正在进行的调查没有发现任何迹象表明员工滥用了这些数据。

  Facebook 正在调查一系列安全故障,其中包括该公司员工构建的应用程序记录了 Facebook 用户的未加密密码数据,并以纯文本形式存储在公司内部服务器上。上述信息是一位熟悉调查的 Facebook 高级员工曝光的,但他(她)不愿透露姓名,因为其没有被授权接受媒体采访。

  这位 Facebook 消息人士说,到目前为止,调查显示,2 亿至 6 亿 Facebook 用户的账户密码可能是以纯文本形式存储的,可被 2 万多名 Facebook 员工搜索。他(她)还称,Facebook 仍在试图确定有多少密码被泄露,以及持续了多长时间。到目前为止,调查已经发现了部分档案,其中包含 2012 年的纯文本用户密码。

  Facebook 内部人士表示,访问日志显示,大约 2000 名 Facebook 工程师或开发人员对包含纯文本用户密码的数据元素进行了大约 900 万次内部查询。这位消息人士表示,“我们进行这种分析的时间越长,Facebook 的合法人员就越容易接受‘受影响用户’的下限。目前,他们正在努力通过只计算我们目前在数据仓库中拥有的东西来进一步减少这一数字。”

  Facebook 软件工程师斯科特·伦弗罗(Scott Renfro)在接受 Krebs On Security 采访时表示,该公司还没有准备好谈论具体的数字,比如可以访问这些数据的 Facebook 员工人数。他说,Facebook 计划提醒受影响的用户,但不需要重新设置密码。

  伦弗罗强调:“到目前为止,我们在调查中还没有发现任何人故意寻找密码的案件,也没有发现滥用这些数据的迹象。在这种情况下,我们发现这些密码是无意中被记录下来的,但并不存在由此带来的实际风险。我们希望确保这些举措,只有在确实存在滥用迹象的情况下才强制更改密码。”

  Facebook 在提供给 Krebs On Security 的书面声明中称,该公司预计将通知“数亿 Facebook Lite 用户、数千万其他 Facebook 用户以及数万 Instagram 用户”。Facebook Lite 是 Facebook 的简化版本,专为低速连接和低规格手机而设计。

  近几个月来,开源及私有软件项目托管平台 Githb 和 Twitter 都被迫承认了类似的失误。但在这两种情况下,这些组织中相对较少的人可以访问纯文本用户密码,而且时间也短得多。

  伦弗罗说,这个问题第一次被发现是在 2019 年 1 月,当时安全工程师审查了某些新的代码,发现用户密码无意中以纯文本登录。

  伦弗罗解释称:“这促使安全团队成立了小型工作组,以确保我们对任何可能发生这种情况的地方都进行广泛的审查。我们已经制定了一系列控制措施,试图减轻这些问题带来的影响,我们正在调查长期的基础设施变化,以防止这种情况继续下去。我们现在正在审查所有日志,以确定是否存在滥用或以其他方式访问这些数据的情况。”

  在 Facebook 密码问题曝光之际,这家社交网络巨头正处于艰难时期。上周,《纽约时报》报道称,美国联邦检察官正在对 Facebook 与世界上许多最大的科技公司达成的数据交易进行刑事调查。

  今年 3 月早些时候,Facebook 因滥用用户出于安全原因提供的电话号码(如两步认证)而受到安全和隐私专家的抨击,这些电话号码被用于其他事情,如营销、广告以及让该社交网络下属的不同平台通过电话号码对这些用户进行搜索等。

 
来自: 腾讯科技
码云企业版,专注于助力企业开发 收藏 新浪微博 分享至微信
标签: 扎克伯格

24小时阅读排行

    最新新闻

      相关新闻