3月22日消息,據外媒報道,國外網絡安全博客Krebs On Security發現,數以億計的Facebook用戶賬戶密碼將存儲在純文本中,而數千名Facebook員工可以搜索到這些密碼。在某些情況下,這種行為甚至可以追溯到2012年。Facebook表示,到目前為止,該公司正在進行的調查沒有發現任何跡象表明員工濫用了這些數據。
Facebook正在調查一系列安全故障,其中包括該公司員工構建的應用程序記錄了Facebook用戶的未加密密碼數據,并以純文本形式存儲在公司內部服務器上。上述信息是一位熟悉調查的Facebook高級員工曝光的,但他(她)不愿透露姓名,因為其沒有被授權接受媒體采訪。
這位Facebook消息人士說,到目前為止,調查顯示,2億至6億Facebook用戶的賬戶密碼可能是以純文本形式存儲的,可被2萬多名Facebook員工搜索。他(她)還稱,Facebook仍在試圖確定有多少密碼被泄露,以及持續了多長時間。到目前為止,調查已經發現了部分檔案,其中包含2012年的純文本用戶密碼。
Facebook內部人士表示,訪問日志顯示,大約2000名Facebook工程師或開發人員對包含純文本用戶密碼的數據元素進行了大約900萬次內部查詢。這位消息人士表示,“我們進行這種分析的時間越長,Facebook的合法人員就越容易接受‘受影響用戶’的下限。目前,他們正在努力通過只計算我們目前在數據倉庫中擁有的東西來進一步減少這一數字。”
Facebook軟件工程師斯科特·倫弗羅(Scott Renfro)在接受Krebs On Security采訪時表示,該公司還沒有準備好談論具體的數字,比如可以訪問這些數據的Facebook員工人數。他說,Facebook計劃提醒受影響的用戶,但不需要重新設置密碼。
倫弗羅強調:“到目前為止,我們在調查中還沒有發現任何人故意尋找密碼的案件,也沒有發現濫用這些數據的跡象。在這種情況下,我們發現這些密碼是無意中被記錄下來的,但并不存在由此帶來的實際風險。我們希望確保這些舉措,只有在確實存在濫用跡象的情況下才強制更改密碼。”
Facebook在提供給Krebs On Security的書面聲明中稱,該公司預計將通知“數億Facebook Lite用戶、數千萬其他Facebook用戶以及數萬Instagram用戶”。Facebook Lite是Facebook的簡化版本,專為低速連接和低規格手機而設計。
近幾個月來,開源及私有軟件項目托管平臺Githb和Twitter都被迫承認了類似的失誤。但在這兩種情況下,這些組織中相對較少的人可以訪問純文本用戶密碼,而且時間也短得多。
倫弗羅說,這個問題第一次被發現是在2019年1月,當時安全工程師審查了某些新的代碼,發現用戶密碼無意中以純文本登錄。
倫弗羅解釋稱:“這促使安全團隊成立了小型工作組,以確保我們對任何可能發生這種情況的地方都進行廣泛的審查。我們已經制定了一系列控制措施,試圖減輕這些問題帶來的影響,我們正在調查長期的基礎設施變化,以防止這種情況繼續下去。我們現在正在審查所有日志,以確定是否存在濫用或以其他方式訪問這些數據的情況。”
在Facebook密碼問題曝光之際,這家社交網絡巨頭正處于艱難時期。上周,《紐約時報》報道稱,美國聯邦檢察官正在對Facebook與世界上許多最大的科技公司達成的數據交易進行刑事調查。
今年3月早些時候,Facebook因濫用用戶出于安全原因提供的電話號碼(如兩步認證)而受到安全和隱私專家的抨擊,這些電話號碼被用于其他事情,如營銷、廣告以及讓該社交網絡下屬的不同平臺通過電話號碼對這些用戶進行搜索等。(騰訊科技審校/金鹿)
產品與服務
聯系站長
關于我們
鄂公網安備42110002000200號