最新產業新聞文章

Image credit:

超过 20,000 名 Facebook 员工能取存用户密码

有 6 亿个密码以纯文字储存。

Eric Chan
2019 年 3 月 22 日, 早上 10:23

Facebook 信息安全事故一波未平、一波又起,他们刚主动交代一宗在一月时发现的问题,据指有部份用户的密码被以纯文字方式存储服务器中,并没有按程序地被屏蔽,使得超过 20,000 名 Facebook 员工都有可能存取到这些密码。

Facebook 表示他们将会向受影响的用户发出通知,其中逾千万人是 Facebook Lite 应用程序的用户,这是个针对缓慢网络环境和低配置手机而开发的版本。另外也有逾千万的一般版 Facebook 用户和数万名 IG 使用者受影响。

这些以纯文字存储的密码,一旦被不法份子获得就会不堪设想,但 Facebook 强调这些登录凭证「不可能被外部人士看到」,Facebook 工程、安全和隐私副总裁 Pedro Canahuati 则表示,他们没有找到证据显示有内部人士滥用或不恰当地存取这些数据。

虽然 Facebook 避重就轻地描述事件,但 Krebs on Security 接获匿名的 Facebook 高级员工爆料,指这些被以纯文字方式存储的密码高达 6 亿条,其中更有的登入凭证是在 2012 年就被以这方式存储。据说有 20,000 名 Facebook 员工有能力搜索到这些数据,而截至 2018 年底,Facebook 总员工数为 35,587 名,换句话说就是大部分员工都可以看到这些密码。同时也有指在取存记录中,有约 2,000 名工程师或开发者「曾进行过约 900 万则包含纯文字密码数据的内部查询」。

Facebook 这次的资安事故自然需要好好善后了,但会否像早前涉嫌把数据分享予第三方企业而被联邦调查局调查呢?同时 Facebook 的两步认证更被发现没法真正提供保护。然而 CEO Mark Zuckerberg 透露过他们正把 Facebook 转变成「专注隐私」的社交网络的愿景,似乎他们要加紧脚步才可以了。

article