科技

脸书6亿用户密码“裸奔” 科技巨头还有多少安全漏洞?

在互联网行业前台匿名后台实名是大部分公司的潜规则。但作为一个负责任的企业,脸书应该对密码进行二次加密,以限制内部人员的获取权限。

网络安全业内人士对记者表示:“脸书的安全漏洞实际是一个内部管理问题。在互联网行业前台匿名后台实名是大部分公司的潜规则。但作为一个负责任的企业,脸书应该对密码进行二次加密,以限制内部人员的获取权限。”

本月初,脸书(Facebook)创始人扎克伯格宣布将把该公司打造成以隐私为中心的社交平台。然而仅过了两周,这个美好的愿景就被残酷的现实所击碎。

当地时间3月21日,著名网络安全记者克雷布斯(Brian Krebs)在网站爆料称,脸书从2012年开始以明文形式(plain text)储存了上亿个用户的账号密码,使得公司2万名员工可以对这些密码进行读取。同一天,脸书发表声明承认存在以明文形式记录上亿用户密码的事实,并号称已经解决相关问题。这篇声明的题目叫做“保护密码安全”。

一名脸书高级员工对克雷布斯表示,脸书员工构建的应用程序记录了用户的明文密码,并以纯文本形式存储在公司内部服务器上。调查显示,被储存了密码的用户涉及2-6亿人。而访问日志显示,大约2000名工程师或开发人员曾经对包含明文用户密码的数据元素进行了大约900万次内部查询。

脸书的软件工程师伦弗罗(Scott Renfro)在接受克雷布斯采访时表示,该公司还没有准备好谈论具体的数字,比如可以访问这些数据的脸书员工人数。

伦弗罗说:“到目前为止,我们在调查中还没有发现任何人故意寻找密码的案件,也没有发现滥用这些数据的迹象。在这种情况下,我们发现这些密码是无意中记录的,也并不存在由此带来的实际风险。 ”

但网络专家并不完全同意脸书的说法。来自Recorded Future的网络安全专家巴雷舍维奇(Andrei Barysevich)对CBS表示:“(网络)安全规则第一条,在任何情况下密码都不应以明文形式存储,而且在任何时候都必须加密。任何人,尤其是脸书这种规模的企业内部人员,完全没有理由掌握读取用户密码的权限。”

事实上,脸书称自己已经按照行业最佳安全实践指南对所有用户密码进行了加密。脸书负责隐私的副总裁Pedro Canahuati在声明中表示:“用安全术语来说,我们对密码进行了哈希加密(hash)和加‘盐’(salted)。包括使用加密函数以及密码密钥。该密钥可以使我们用一组随机字符不可逆地替换用户的实际密码。”

界面新闻
订阅新闻电邮