百度360必应搜狗淘宝本站头条
当前位置:网站首页 > 编程网 > 正文

脸书6亿用户密码“裸奔”,科技巨头还有多少安全漏洞?

yuyutoo 2025-04-06 00:07 3 浏览 0 评论

记者 | 刘芳

本月初,脸书(Facebook)创始人扎克伯格宣布将把该公司打造成以隐私为中心的社交平台。然而仅过了两周,这个美好的愿景就被残酷的现实所击碎。

当地时间3月21日,著名网络安全记者克雷布斯(Brian Krebs)在网站爆料称,脸书从2012年开始以明文形式(plain text)储存了上亿个用户的账号密码,使得公司2万名员工可以对这些密码进行读取。同一天,脸书发表声明承认存在以明文形式记录上亿用户密码的事实,并号称已经解决相关问题。这篇声明的题目叫做“保护密码安全”。

一名脸书高级员工对克雷布斯表示,脸书员工构建的应用程序记录了用户的明文密码,并以纯文本形式存储在公司内部服务器上。调查显示,被储存了密码的用户涉及2-6亿人。而访问日志显示,大约2000名工程师或开发人员曾经对包含明文用户密码的数据元素进行了大约900万次内部查询。

脸书的软件工程师伦弗罗(Scott Renfro)在接受克雷布斯采访时表示,该公司还没有准备好谈论具体的数字,比如可以访问这些数据的脸书员工人数。

伦弗罗说:“到目前为止,我们在调查中还没有发现任何人故意寻找密码的案件,也没有发现滥用这些数据的迹象。在这种情况下,我们发现这些密码是无意中记录的,也并不存在由此带来的实际风险。 ”

但网络专家并不完全同意脸书的说法。来自Recorded Future的网络安全专家巴雷舍维奇(Andrei Barysevich)对CBS表示:“(网络)安全规则第一条,在任何情况下密码都不应以明文形式存储,而且在任何时候都必须加密。任何人,尤其是脸书这种规模的企业内部人员,完全没有理由掌握读取用户密码的权限。”

事实上,脸书称自己已经按照行业最佳安全实践指南对所有用户密码进行了加密。脸书负责隐私的副总裁Pedro Canahuati在声明中表示:“用安全术语来说,我们对密码进行了哈希加密(hash)和加‘盐’(salted)。包括使用加密函数以及密码密钥。该密钥可以使我们用一组随机字符不可逆地替换用户的实际密码。”

那么既然已经对所有用户密码进行了加密,内部人员又是如何构建了记录原始密码的应用程序呢?

一位不愿透露姓名的网络安全业内人士对界面新闻表示:“脸书的安全漏洞实际是一个内部管理问题。在互联网行业,前台匿名后台实名是大部分公司的潜规则。但作为一个负责任的企业,脸书应该对密码进行二次加密,以限制内部人员的获取权限。”

他还表示:“目前欧洲《通用数据保护条例》和《网络安全法》对密码加密方法、储存和二次加密等公司内部问题没有明文规定。但在数字经济发达的美国加利福尼亚州、马萨诸塞州等地有最佳安全实践指南,规定了互联网公司内部关于密码的管理机制和授权机制。”

记者在马萨诸塞州个人信息保护法中看到,任何以电子方式储存或传输马萨诸塞州居民个人信息的主体都应对个人信息进行加密。并且应对系统进行合理监控,防止(任何人)未经授权使用或访问个人信息。

对于密码的重要性,国家密码管理局商用密码管理办公室副主任霍炜对界面新闻表示,密码是网络安全的核心技术,是网络信任体系的基础支撑,是目前被证明了的最直接、最可靠、最经济的手段。

“2017年,美国征信巨头艾可菲泄露高达1.43亿美国居民个人信息;同年,印度身份证管理局生物身份识别系统受到攻击,导致1亿条银行账户信息记录遭泄露,”霍炜说,“只有密码,可以完整实现网络信息系统的真实性、机密性、完整性和不可否认性,有效解决网络系统防假冒、防泄密、防篡改、抗抵赖等安全需求。”

目前看来,脸书显然没有做到对用户密码安全的最佳实践。事实上自去年夏天剑桥分析公司数据泄露案件以来,脸书在用户隐私安全问题上一直麻烦不断。《纽约时报》在本月早些时候报道,美国联邦检察官正在对脸书等大型科技公司进行的数据交易进行刑事调查。

相关推荐

国内外注塑机及电脑密码大全(常见注塑机通用密码)

一、国外注塑机(日本、德国等)东洋注塑机万能码:9422345日精注塑机密码:222|7777DAMEG注塑机密码:000000000新泻注塑机密码:241650|261450住友注塑机密码:...

并发编程实战来咯(并发编程的艺术和并发编程实战)

提到并发编程,就不得不提C++ConcurrencyinAction(SecondEdition)(《C++并发编程实战第2版》)啦!《C++并发编程实战第2版》英文原版&中文译版看到这个...

无锁队列Disruptor原理解析(无锁队列应用场景)

队列比较队列...

理解 Memory barrier(内存屏障)(内存屏障 volatile)

...

并发编程 --- CAS原子操作(cas概念、原子类实现原理)

...

无锁CAS(附无锁队列的实现)(cas是一种无锁算法)

本文所有代码对应的Github链接为:https://github.com/dongyusheng/csdn-code/tree/master/cas_queue...

Linux高性能服务器设计(linux 服务器性能)

C10K和C10M计算机领域的很多技术都是需求推动的,上世纪90年代,由于互联网的飞速发展,网络服务器无法支撑快速增长的用户规模。1999年,DanKegel提出了著名的C10问题:一台服务器上同时...

浅谈Go语言的并发控制(go语言 并发)

前言本文原创,著作权归...

Datenlord |Etcd 客户端缓存实践(etcd 数据存储)

简介和背景...

无锁编程——从CPU缓存一致性讲到内存模型

缓存是一个非常常用的工程优化手段,其核心在于提升数据访问的效率。缓存思想基于局部性原理,这个原理包括时间局部性和空间局部性两部分:...

打通 JAVA 与内核系列之 一 ReentrantLock 锁的实现原理

...

如何利用CAS技术实现无锁队列(cas会锁总线吗)

linux服务器开发相关视频解析:...

Kotlin协程之一文看懂Channel管道

概述Channel类似于Java的BlockingQueue阻塞队列,不同之处在于Channel提供了挂起的send()和receive()方法。另外,通道Channel可以...

详解C++高性能无锁队列的原理与实现

1.无锁队列原理1.1.队列操作模型...

Javascript 多线程编程的前世今生

...

取消回复欢迎 发表评论: