百度360必应搜狗淘宝本站头条
当前位置:网站首页 > 编程网 > 正文

脸书6亿用户密码“裸奔”,科技巨头还有多少安全漏洞?

yuyutoo 2025-04-06 00:07 11 浏览 0 评论

记者 | 刘芳

本月初,脸书(Facebook)创始人扎克伯格宣布将把该公司打造成以隐私为中心的社交平台。然而仅过了两周,这个美好的愿景就被残酷的现实所击碎。

当地时间3月21日,著名网络安全记者克雷布斯(Brian Krebs)在网站爆料称,脸书从2012年开始以明文形式(plain text)储存了上亿个用户的账号密码,使得公司2万名员工可以对这些密码进行读取。同一天,脸书发表声明承认存在以明文形式记录上亿用户密码的事实,并号称已经解决相关问题。这篇声明的题目叫做“保护密码安全”。

一名脸书高级员工对克雷布斯表示,脸书员工构建的应用程序记录了用户的明文密码,并以纯文本形式存储在公司内部服务器上。调查显示,被储存了密码的用户涉及2-6亿人。而访问日志显示,大约2000名工程师或开发人员曾经对包含明文用户密码的数据元素进行了大约900万次内部查询。

脸书的软件工程师伦弗罗(Scott Renfro)在接受克雷布斯采访时表示,该公司还没有准备好谈论具体的数字,比如可以访问这些数据的脸书员工人数。

伦弗罗说:“到目前为止,我们在调查中还没有发现任何人故意寻找密码的案件,也没有发现滥用这些数据的迹象。在这种情况下,我们发现这些密码是无意中记录的,也并不存在由此带来的实际风险。 ”

但网络专家并不完全同意脸书的说法。来自Recorded Future的网络安全专家巴雷舍维奇(Andrei Barysevich)对CBS表示:“(网络)安全规则第一条,在任何情况下密码都不应以明文形式存储,而且在任何时候都必须加密。任何人,尤其是脸书这种规模的企业内部人员,完全没有理由掌握读取用户密码的权限。”

事实上,脸书称自己已经按照行业最佳安全实践指南对所有用户密码进行了加密。脸书负责隐私的副总裁Pedro Canahuati在声明中表示:“用安全术语来说,我们对密码进行了哈希加密(hash)和加‘盐’(salted)。包括使用加密函数以及密码密钥。该密钥可以使我们用一组随机字符不可逆地替换用户的实际密码。”

那么既然已经对所有用户密码进行了加密,内部人员又是如何构建了记录原始密码的应用程序呢?

一位不愿透露姓名的网络安全业内人士对界面新闻表示:“脸书的安全漏洞实际是一个内部管理问题。在互联网行业,前台匿名后台实名是大部分公司的潜规则。但作为一个负责任的企业,脸书应该对密码进行二次加密,以限制内部人员的获取权限。”

他还表示:“目前欧洲《通用数据保护条例》和《网络安全法》对密码加密方法、储存和二次加密等公司内部问题没有明文规定。但在数字经济发达的美国加利福尼亚州、马萨诸塞州等地有最佳安全实践指南,规定了互联网公司内部关于密码的管理机制和授权机制。”

记者在马萨诸塞州个人信息保护法中看到,任何以电子方式储存或传输马萨诸塞州居民个人信息的主体都应对个人信息进行加密。并且应对系统进行合理监控,防止(任何人)未经授权使用或访问个人信息。

对于密码的重要性,国家密码管理局商用密码管理办公室副主任霍炜对界面新闻表示,密码是网络安全的核心技术,是网络信任体系的基础支撑,是目前被证明了的最直接、最可靠、最经济的手段。

“2017年,美国征信巨头艾可菲泄露高达1.43亿美国居民个人信息;同年,印度身份证管理局生物身份识别系统受到攻击,导致1亿条银行账户信息记录遭泄露,”霍炜说,“只有密码,可以完整实现网络信息系统的真实性、机密性、完整性和不可否认性,有效解决网络系统防假冒、防泄密、防篡改、抗抵赖等安全需求。”

目前看来,脸书显然没有做到对用户密码安全的最佳实践。事实上自去年夏天剑桥分析公司数据泄露案件以来,脸书在用户隐私安全问题上一直麻烦不断。《纽约时报》在本月早些时候报道,美国联邦检察官正在对脸书等大型科技公司进行的数据交易进行刑事调查。

相关推荐

深度解读Spring框架的核心原理

深度解读Spring框架的核心原理在Java开发的世界里,提到Spring框架,就像提起一位久经沙场的老将,它几乎成了企业级应用开发的代名词。那么,这个被无数开发者膜拜的框架究竟有何独特之处?今天,我...

「Spring认证」Spring 框架概述

Spring是最流行的企业Java应用程序开发框架。全球数以百万计的开发人员使用SpringFramework来创建高性能、易于测试和可重用的代码。Spring框架是一个开源的Java...

学习Spring框架 这一篇就够了

1.spring概述1.1Spring是什么(理解)...

Spring框架双核解析:IOC与AOP的本质与实战

#Spring核心#IOC容器#AOP编程#Java框架设计...

Spring Boot与传统Spring框架的对比:探索Java开发的新境界

SpringBoot与传统Spring框架的对比:探索Java开发的新境界在Java生态系统中,Spring框架无疑是一个里程碑式的存在。从最初的简单依赖注入容器,到如今覆盖企业级开发方方面面的庞大...

Spring MVC框架源码深度剖析:从入门到精通

SpringMVC框架源码深度剖析:从入门到精通SpringMVC框架简介SpringMVC作为Spring框架的一部分,为构建Web应用程序提供了强大且灵活的支持。它遵循MVC(Model-V...

Spring框架入门

一.spring是什么?Spring是分层...

程序员必知必会技能之Spring框架基础——面向切面编程!

面向切面编程AOP(AspectOrientedProgramming)与OOP(ObjectOrientedProgramming,面向对象编程)相辅相成。AOP提供了与OOP不同的抽象软件结...

Spring Security安全框架深度解读:为你的应用穿上“钢铁铠甲”

SpringSecurity安全框架深度解读:为你的应用穿上“钢铁铠甲”在现代网络世界里,保护我们的应用程序免受各种威胁攻击至关重要。而在这个过程中,SpringSecurity框架无疑是我们最可...

Spring框架的设计哲学与实现:打造轻量级的企业级Java应用

Spring框架的设计哲学与实现:打造轻量级的企业级Java应用Spring框架自2003年诞生以来,已成为企业级Java应用开发的代名词。它不仅仅是一个框架,更是一种设计理念和哲学的体现。本文将带你...

Spring框架深度解析:从核心原理到底层实现的全方位避坑指南

一、Spring框架核心概念解析1.控制反转(IoC)与依赖注入(DI)Spring的核心思想是通过IoC容器管理对象的生命周期和依赖关系。传统开发中,对象通过new主动创建依赖对象,导致高耦合;而S...

Java框架 —— Spring简介

简介一般来说,Spring指的是SpringFramework,它提供了很多功能,例如:控制反转(IOC)、依赖注入...

Spring 框架概述,模块划分

Spring框架以控制反转(InversionofControl,IoC)和面向切面编程(Aspect-OrientedProgramming,AOP)为核心,旨在简化企业级应用开发,使开发者...

spring框架怎么实现依赖注入?

依赖注入的作用就是在使用Spring框架创建对象时,动态的将其所依赖的对象注入到Bean组件中,其实现方式通常有两种,一种是属性setter方法注入,另一种是构造方法注入。具体介绍如下:●属性set...

Spring框架详解

  Spring是一种开放源码框架,旨在解决企业应用程序开发的复杂性。一个主要优点就是它的分层体系结构,层次结构让你可以选择要用的组件,同时也为J2EE应用程序开发提供了集成框架。  Spring特征...

取消回复欢迎 发表评论: