Facebook 又摊上事了,数亿用户被波及!
继轰动全球的数据泄露丑闻后,Facebook又身陷安全疑云。近日据外媒报道,数亿Facebook用户的密码一直用明文储存,数千名Facebook员工都可查询到!某些情况下,密码甚至可以追溯到2012年......庆幸的是,目前的调查显示还没有员工滥用这些数据。
作者 | Brian Krebs
译者 | 弯月
责编 | 郭芮
出品 | CSDN(ID:CSDNnews)
以下为译文:
Facebook又因为安全问题引起热议了!
近日有消息爆出,Facebook应用程序未对用户的密码数据做加密处理,并以纯文本的形式直接存储在公司内部的服务器上。——据悉,该消息最初来源于一名熟悉内情且不愿透露姓名的高级Facebook员工。
Facebook的消息人士表示,迄今为止的调查显示,有2亿-6亿Facebook用户密码一直以纯文本的形式存储,且超过2万名Facebook员工都可搜索。消息人士称Facebook仍在彻查究竟有多少密码被暴露,以及暴露的时间,但到目前为止的调查还发现用明文保存用户密码的问题可以追溯到2012年。
Facebook内部人士表示,访问日志显示,大约有2千名工程师和开发人员对包含纯文本用户密码的数据进行了大约900万次内部查询。消息人士称,“随着深入分析的时间增加,Facebook的法律人士决定只统计最低的数字,如今他们打算通过仅计算目前数据仓库中的数据来缩小这个数字。”
在接受KrebsOnSecurity采访时,Facebook软件工程师Scott Renfro表示,该公司尚不能给出具体的数字——例如究竟有多少Facebook员工可以访问数据。
Renfro表示,该公司计划通知受影响的Facebook用户,但用户不需要重置密码。他说:“到目前为止,我们还没有发现任何有人蓄意查找密码的情况,也没有发现滥用这些数据的迹象“。“在这种情况下,我们发现这些密码是无意中记录的,但不会引发实际的风险。我们希望确认清楚这些步骤,而且只会在存在滥用迹象的情况下才强制用户更改密码。”
Facebook向KrebsOnSecurity提交的书面声明称,预计该公司会通知数亿的Facebook Lite用户、数千万其他Facebook用户以及数万名Instagram用户。其中,Facebook Lite是专为连接速度较低和低规格手机设计的Facebook版本。
最近几个月,Github和Twitter都曾经被迫承认有类似的问题,但对于这两家,只有公司内部少数人才能使用纯文本用户的密码,而且使用时间也较短。
Renfro表示,这个问题于2019年1月首次曝光,当时安全工程师审查了一些新密码,并无意中发现密码以明文形式保存。Renfro说:“他们因此成了一个小型工作组,确保对可能发生问题的地方进行了广泛的审查。我们有一系列控制措施来缓解这些问题,为了防止这种情况发生,我们正在调查长期依赖基础设施的变化。目前我们正在审查一些查询日志,我们需要确认是否存在对该数据的滥用或其他人对该数据的访问。”
Facebook的密码问题给该社交网络带来了一段艰难的历程。前不久,纽约时报称,联邦检察官正在对Facebook与一些全球最大的科技公司达成的数据交易进行刑事调查。
本月早些时候,Facebook遭到安全和隐私专家的抨击,因为其出于安全原因(例如双重认证),将用户电话号码用于其他用途(例如营销、广告以及通过社交网络的不同平台利用电话号码搜索用户)。
原文:https://krebsonsecurity.com/2019/03/facebook-stored-hundreds-of-millions-of-user-passwords-in-plain-text-for-years/
本文为 CSDN 翻译,如需转载,请注明来源出处。
热 文 推 荐
☞50 岁老码农:Python Bug 太多,我选 Rust 和 Go!
☞18 岁少年盗取价值 90 万元加密货币,交易所被迫关停!
☞在线公开课 | 从理论走向实践,多角度详解Cloud Native
☞中国区块链职业发展现状: 30岁前不做开发; 平均薪资仅38.4万; 跳槽薪资涨三成 (附完整报告下载资源)
System.out.println("点个在看吧!");
console.log("点个在看吧!");
print("点个在看吧!");
printf("点个在看吧!\n");
cout << "点个在看吧!" << endl;
Console.WriteLine("点个在看吧!");
Response.Write("点个在看吧!");
alert("点个在看吧!")
echo "点个在看吧!"
相关内容
微信扫码咨询专知VIP会员