扎克伯格心真大?脸书被曝多年来以文本形式存储数亿用户密码变异怪婴

文章正文
发布时间:2019-03-26 17:39

腾讯科技讯 3月22日消息,变异怪婴据外媒报道,国外网络安全博客Krebs On Security发现,数以亿计的Facebook用户账户密码将存储在纯文本中,而数千名Facebook员工可以搜索到这些密码。在某些情况下,这种行为甚至可以追溯到2012年。Facebook表示,到目前为止,该公司正在进行的调查没有发现任何迹象表明员工滥用了这些数据。

Facebook正在调查一系列安全故障,其中包括该公司员工构建的应用程序记录了Facebook用户的未加密密码数据,并以纯文本形式存储在公司内部服务器上。上述信息是一位熟悉调查的Facebook高级员工曝光的,但他(她)不愿透露姓名,因为其没有被授权接受媒体采访。

这位Facebook消息人士说,到目前为止,调查显示,2亿至6亿Facebook用户的账户密码可能是以纯文本形式存储的,可被2万多名Facebook员工搜索。他(她)还称,Facebook仍在试图确定有多少密码被泄露,以及持续了多长时间。到目前为止,调查已经发现了部分档案,其中包含2012年的纯文本用户密码。

Facebook内部人士表示,访问日志显示,大约2000名Facebook工程师或开发人员对包含纯文本用户密码的数据元素进行了大约900万次内部查询。这位消息人士表示,“我们进行这种分析的时间越长,Facebook的合法人员就越容易接受‘受影响用户’的下限。目前,他们正在努力通过只计算我们目前在数据仓库中拥有的东西来进一步减少这一数字。”

Facebook软件工程师斯科特·伦弗罗(Scott Renfro)在接受Krebs On Security采访时表示,该公司还没有准备好谈论具体的数字,比如可以访问这些数据的Facebook员工人数。他说,Facebook计划提醒受影响的用户,但不需要重新设置密码。

伦弗罗强调:“到目前为止,我们在调查中还没有发现任何人故意寻找密码的案件,也没有发现滥用这些数据的迹象。在这种情况下,我们发现这些密码是无意中被记录下来的,但并不存在由此带来的实际风险。我们希望确保这些举措,只有在确实存在滥用迹象的情况下才强制更改密码。”

Facebook在提供给Krebs On Security的书面声明中称,该公司预计将通知“数亿Facebook Lite用户、数千万其他Facebook用户以及数万Instagram用户”。Facebook Lite是Facebook的简化版本,专为低速连接和低规格手机而设计。

近几个月来,开源及私有软件项目托管平台Githb和Twitter都被迫承认了类似的失误。但在这两种情况下,这些组织中相对较少的人可以访问纯文本用户密码,而且时间也短得多。

伦弗罗说,这个问题第一次被发现是在2019年1月,当时安全工程师审查了某些新的代码,发现用户密码无意中以纯文本登录。

伦弗罗解释称:“这促使安全团队成立了小型工作组,以确保我们对任何可能发生这种情况的地方都进行广泛的审查。我们已经制定了一系列控制措施,试图减轻这些问题带来的影响,我们正在调查长期的基础设施变化,以防止这种情况继续下去。我们现在正在审查所有日志,以确定是否存在滥用或以其他方式访问这些数据的情况。”

在Facebook密码问题曝光之际,这家社交网络巨头正处于艰难时期。上周,《纽约时报》报道称,美国联邦检察官正在对Facebook与世界上许多最大的科技公司达成的数据交易进行刑事调查。

今年3月早些时候,Facebook因滥用用户出于安全原因提供的电话号码(如两步认证)而受到安全和隐私专家的抨击,这些电话号码被用于其他事情,如营销、广告以及让该社交网络下属的不同平台通过电话号码对这些用户进行搜索等。(腾讯科技审校/金鹿)