大公產品

首页 > 新闻 > 正文

Fb密碼無密 六億用戶私隱危

時間:2019-03-23 03:18:27來源:大公報

  【大公報訊】據CNN、《商業內幕》及《華爾街日報》報道:日前因用戶私隱泄露問題而飽受詬病的社交網站巨頭Facebook(Fb),21日又被爆用明碼形式存儲6億用戶的登錄密碼,任由2萬多名內部員工查看。Fb表示已修復這起個資問題,但不認為員工中有濫用或不當取得密碼的行為。

  經營安全新聞網站KrebsOnSecurity.com作者克雷布斯最先披露這項消息,他引述Fb內部消息人士說法稱,最近Fb的內部調查發現,有員工將Fb用戶的帳戶密碼以純文本形式存儲在內部服務器裏,約有2億至6億用戶受影響,超過2萬名內部員工都能搜到。

  兩萬員工輕易取得

  消息人士還指,此安全漏洞從2012年起就存在,查詢紀錄顯示,過去逾2000名工程師和開發者曾進行過約9萬次的查詢。克雷布斯說,他的消息人士在等待Fb主動披露此事的過程中失去了耐心,認為Fb可能一直會拖延時間,於是嘗試聯繫克雷布斯。

  Fb官方隨即在網站上坦承確有此事,但未披露具體的影響人數。上述消息人士表示:「內部調查拖得越久,Fb的法務就更傾向於將受影響的用戶人數說得少些」,例如只計算目前資料庫中的數字。

  Fb還指,是在今年1月的例行安全檢查中發現問題,其中Fb和Instagram分別有上百萬和數萬用戶的密碼是以明碼存儲的。而Fb簡裝版、用於網路連線較差地區的Facebook Lite更有上億用戶受影響。

  此外,聲明中稱公司已經修復此問題並通知受影響的用戶修改密碼,同時建議用戶採取措施保護帳號安全,但修改密碼不是強制性措施。

  推特曾犯同樣錯誤

  對於是否有員工濫用密碼的問題,Fb強調「沒有證據表明公司內部有任何人濫用或不當使用這些數據」,且受影響的用戶密碼從未流出公司,讓其他人獲取。

  其他社交網站密碼存儲也曾出現類似問題,去年5月推特要求3.31億用戶修改密碼,亦是發現內部系統記錄用戶的未加密密碼,但都沒有Fb這次誇張。一來受到影響的人沒有很多,另一方面能不當存取這些密碼的人數不多。

  德司法部長痛斥不專業

  Fb一直採用散列算法來處理密碼,公司內部稱之為「洋葱(the onion)」。這是不可逆的單向密碼體制,即只有加密過程,沒有解密過程。Fb的聲明中沒有提到是次大量密碼沒有加密的原因。報道指,一旦明碼存儲密碼的服務被黑,黑客就可以取得用戶的密碼騎劫帳戶。另外,不少人都會「一個密碼走天涯」,一個服務的密碼被盜可能會涉及更多服務受威脅。

  澳洲計算機安全公司UpGuard安全研究員維克里表示,在Fb這樣員工分工獨立的大公司裏,發生類似錯誤的可能性更大。因為有程序員設計傳輸中的密碼記錄系統,但他們從不考慮加密密碼,而設計密碼存儲數據的人很可能都不知道該記錄系統的存在。

  維克里稱,即使沒有用戶因為這個錯誤受到損害,但在處理數據方面的馬虎疏漏,是Fb糟糕的數據管理文化的又一例證。

  德國司法部長卡塔琳娜.巴利稱,她很難想像Fb會出現如此「令人恐懼的不專業」行為。美國加州大學柏克萊分校數據私隱研究副教授馬利根表示,如果密碼都能被數千員工直接獲取,不難想像其他數據的處理方式有多麼糟糕。

最新要聞

最新要聞

最受歡迎