3月22日消息,据国外媒体报道,Facebook周四表示,该公司已经解决了一个故障,该故障导致数百万用户的密码在其内部系统中,以可读格式泄露给内部员工。也就是说,只要该公司的工程师或开发人员有意愿,他们就可以使用这些信息访问用户的帐号。
Facebook回应称公司员工以外的人是无法看到这个文档的,并且表示目前没有员工曾泄露或者是恶意使用这些数据。Facebook称将会提醒这些用户他们的账户状态。账户信息曝光的用户具体人数还不确定,但是估计在2-6亿人之间。Facebook对此还没有回应。
克莱布斯表示,这个漏洞可以回溯到 2012 年。
卡纳瓦蒂说:“这引起了我们的关注,因为我们的登录系统被设计成透过技术来屏蔽密码,使密码不可读取。到目前为止,我们没有发现任何证据表明,内部有人滥用或透过不正当方式访问这些密码。”不过他没有说明,Facebook 是如何得出这个结论的。
Facebook 表示,将向“数亿 Facebook Lite 用户”和“数千万其他 Facebook 用户”发出通知。Facebook Lite 是 Facebook 为网速慢、宽带价格高的用户提供的轻量级版本。该公司还表示,也将向“数万 Instagram 用户”告知这个情况。
克莱布斯报道称,多达 6 亿用户可能受影响。这大约是 Facebook 27 亿用户的 1/5,但 Facebook 尚未证实这个数字。
Facebook曾称他们利用哈希技术储存用户数据,并且这个数据库是不可读的。但是据Krebs on Security的报告,这些数据其实是可读的。Facebook的VP Pedro Canahuati说:“我们对此很是在意,因为我们的登录系统已经被设置为密码保护模式。我们已经修复了这个问题,并且通知了密码被曝光的用户以防万一。”
20000名员工约900万次内部查询
一位不愿具名的Facebook高级员工表示,在安全方面,多达6亿个密码是以纯文本形式存储的,并暗示自2012年以来,一些登录凭证就是以这种方式存储的。该名高级员工表示,截至2018年底,Facebook共雇佣了35587名员工,超过20000名员工能够搜索到这些数据。
目前,Facebook并未透露此次安全问题的全部内容。不过,Facebook高级员工表示,截至2018年底,Facebook共雇佣了35587名员工,超过20000名员工能够搜索到这些数据。此外,据相关报道介绍,Facebook访问日志显示大约2000名工程师或开发人员对包含纯文本用户密码的数据元素进行了约900万次内部查询。
明文储存密码具有很大的危险性
Facebook曾称他们利用哈希技术储存用户数据,并且这个数据库是不可读的。但是据Krebs on Security的报告,这些数据其实是可读的。从信息安全的角度出发,任何网络服务都不应该保存或发送明文密码。
网站以明文形式保存用户的密码,而没有任何加密,当黑客攻击进入服务器后,就可以直接看到裸露的密码原文。即使用了哈希函数加密,也不代表无懈可击。密码分析学家阮风光说,如果一串被哈希过的密码被盗,只要密码过于简单,黑客同样可以获得。
网站要部署SSL证书
目前互联网建立在底层协议HTTP之上,一切都是明文传输,信息如汪洋大海般自由流淌,这种盛况无疑是令人悸动的。在HTTP明文传输的世界里,所有传输的数据,包括个人信息,邮箱密码、银行账号等机密数据都在无形中“裸奔”,这使得“坏人”窃取也变得轻而易举。不仅如此,劫持网页流量一直是各路黑客们的钟爱,HTTP协议使得流量在传输途中可以随心所欲地被黑客控制。
面对诸多的网络安全事件,企业要做的是防患于未然-部署SSL证书实行HTTPS加密,让数据在传输之初就得到保护。千万不要小看HTTPS对数据隐私的保护。HTTPS是由“HTTP协议+SSL证书”构建的可进行加密传输、身份认证的一种网络通信协议。HTTPS对网站起到两个作用,一是将传输中的数据进行记录、封装、加密;二是在数据传输开始前,通讯双方进行身份真实性认证并协商加密算法、交换加密密钥等。
目前HTTPS是现行网络架构下最安全的解决方案。基于SSL加密层,用户可以将网站由HTTP切换到HTTPS,从而保证网络数据传输的安全。有了HTTPS加密,可以防止网站流量劫持,保护用户隐私,还可以保障企业的利益不受损害。为用户隐私保驾护航,将网络攻击风险扼杀在摇篮。
建议企业赶快向数安时代申请权威可信SSL证书吧!提升网站安全防护能力,保护用户的数据安全。数安时代是全国三家经过WEBTRUST国际认证CA机构的其中一家,拥有15年丰富的行业经验和专业的7*24小时一对一技术支持团队,随时为您解决难题。如果对部署SSL证书或者对HTTPS有什么疑惑可以随时到官网咨询客服。
领取优惠
提交成功!