Facebook明文存储近6亿密码 虽未泄漏但仍提醒修改密码。(ZT)

于 2019-03-22 11:58:52 发布
阅读量219 收藏
点赞数

Facebook明文存储近6亿密码 虽未泄漏但仍提醒修改密码
沙拉拉卡 事件 1分钟 前发布收藏
导语:Facebook再次爆出安全隐私问题,数亿密码公开存储于内部数据存储系统中,员工可直接访问查询。

现在,很难用现有的隐私政策、安全策略等借口去掩盖这个事实:在北京时间今天凌晨,根据Krebs on Security报道,Facebook确认了密码管理系统的一个漏洞,这个漏洞可导致数亿的Facebook帐号、Instagram以及Facebook Lite的明文密码泄漏。这意味着数万名Facebook员工可以直接查阅明文的密码。Krebs的文章称这种情况可以追溯到2012年。

一般来说,网站的运营者可以通过使用特定的单方加密的方法将密码存储在服务器上。通过这种方法,即时有人获得了这个密码,他们也无法知道这个密码具体是什么,这种已加密的密码也几乎不可能被利用起来。作为一个服务数亿用户的公司,Facebook一定知道他们要面对的是一大批的黑客,并且他们要尽可能避免发生密码泄漏的可能性,避免发生严重的安全灾难。不幸的是,一个敞开的窗户让这些铜墙铁壁般的安全防御措施彻底失效。

Facebook明文存储近6亿密码 虽未泄漏但仍提醒修改密码
Facebook方面的解释

“在一月份的日常安全巡查过程中,我们发现部分用户的密码在内部数据存储系统里可以被任意读取,”Facebook安全隐私副总裁Pedro Canahuati在声明中是这么说的“我们的登录系统已经是使用顶尖的技术去对密码进行加密。我们可以这么说,这些密码绝对不会在Facebook以外的任何一个人能够看到,我们迄今为止也未发现有任何公司外部人员曾经访问过这些数据。”

Canahuati称Facebook现在已经修复了这个密码记录问题,并且Facebook将通知数亿Facebook用户和数千万Instagram用户,提醒他们去更换密码。并且,Facebook并灭有计划去重置用户密码。

作为一个这么庞大的目标,Facebook很少出现安全方面的技术错误,并且遇到这次事件的时候也并没有逃避。但是这个公司从9月份的违规操作就已经开始备受质疑,其中攻击者通过破坏用户登录的账户信息,窃取了3000万用户的数据。

上述事件间接的帮助Facebook发现这个明文存储密码的问题以及导致出现这种情况的漏洞,这个事件引发了这场找出过失的安全检查。“在我们的安全检查中,我们一直在研究我们存储各种信息的方式——例如访问凭证——并且我们在发现问题的时候就要把问题解决掉。”据Canahuati称。

牛津大学技术和全球事务中心的独立网络安全顾问兼助理研究员Lukasz Olejnik表示:“好消息是,他们在积极主动的处理这个问题。据说,他们是在一次审计中发现这一问题,所以从这个层面上来说,过去的安全问题加上这次的数据泄露安全问题,往后Facebook公司的审计规则应该会更加标准。”

Facebook告诉WIRED,被泄露的密码不可能全部存储在一个地方,并且问题也不是出自密码管理系统的某个漏洞(可能是多个漏洞引起)。相反,公司是无意间通过一些内部机制和存储系统(例如崩溃日志),捕获到的明文密码。

Facebook表示,这件事情的性质导致这个问题更加复杂,很难被理解,也很难修复。公司内部已经花了将近两个月的时间去调查该问题,并试图披露调查结果。

像Facebook这种拥有大规模用户数据的公司,应该保持网络流量日志清晰有条理。当发生脱机、漏洞或者其他安全问题时,才可更好更快的追溯问题根源。在某些情况下,Facebook拉取这些数据也属正常,但问题是,为什么Facebook要把含有敏感数据的日志存储这么久,为什么公司对此事一无所知。

Open Crypto Audit Project的安全工程师和主管Kenn White表示:“作为调试bug的一部分,捕获用户数据,以及操纵如此大规模的网络数据,这些事情是很不正常的。但Facebook能存储这些数据长达数年之久,就说明他们的架构存在很多问题。他们有义务保护调试日志安全,并且需要对存储的的日志进行审计。从某种意义上来说,他们拥有的是最为敏感的数据,因为这些数据未经任何处理,也没有托管在任何地方。”

去年5月份,Twitter也发生过一起类似事件——用户的明文密码泄露。他们没有第一时间要求用户更改密码,而是表示他们的密码没有泄露。同样,Facebook也表示,据他们的调查显示,没有任何迹象表明有人窃取了他们数亿的用户密码。

建议

不管你是否收到Facebook的更改密码通知,你都应该立马去更改你的密码。

Facebook表示明文密码问题现在已经修复,并且他们认为此次事件不会产生长期影响,因为密码从未真正被盗过。但考虑到Facebook已经多次的爆发安全危机,很难知道接下来会发生什么。

本文翻译自:https://www.wired.com/story/facebook-passwords-plaintext-change-yours/ 如若转载,请注明原文地址: https://www.4hou.com/other/16937.html

kamiyaa
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
曾帮Facebook把用户做到7亿的那个人,告诉你如何实现用户增长
02-26
ChamathPalihapitiya出身于斯里兰卡,六岁时随家人移居加拿大。1999年获得了滑铁卢大学电气工程学位,之后他进入投资银行BMONesbittBurns做了...加入之前Facebook遇到了增长瓶颈,但他离开时Facebook时已有七亿用户。
如何找回忘记的Facebook密码
热门推荐
09-17 1万+
facebook营销密码If you don’t use a password manager, those complex passwords can be pretty hard to remember. If you’ve forgotten your Facebook password, you can’t really recover that same password, but it...
Facebook登录密钥问题
bluedingdingd的博客
03-18 1615
facebook 集成三方登录的时候只需要按照官方文档集成就好 只是需要注意密钥不对的问题 把报错信息中的密钥手动输入到指定位置即可
FirebaseMutiAppLogin:使用电子邮件密码facebook,twitter,github进行Firebase身份验证
02-04
使用电子邮件/密码Facebook,Twitter,github进行Firebase身份验证 脸书: 在Facebook开发人员网站中创建该应用,然后继续。 推特 使用结构添加了twitter sdk。 替换LoginActivity中的键。 注意:Twitter登录...
全球最大社交游戏代理商6waves,谈六年Facebook游戏运营经验
02-21
成都——此时此刻,也许在地球的某个角落,某个玩家正在通过Facebook玩一款中国本土开发的游戏,这个拥有全球10亿用户的社交网站,正在源源不断地给国内游戏开发商带来收入。尽管是社交网络巨头,但国内游戏开发商...
Facebook数据仓库揭秘:RCFile高效存储结构
02-03
本文介绍了Facebook公司数据分析系统中的RCFile存储结构,该结构集行存储和列存储的优点于一身,在MapReduce环境下的大规模数据分析中扮演重要角色。Facebook曾在2010ICDE...
混合动力无人船上位机.zip
05-05
无人机最强算法源码,易于部署和学习交流使用
Swing界面开发和游戏开发.docx
05-05
Swing界面开发和游戏开发.docx
xx国际集团母子管控诊断报告(宣讲)gl.ppt
05-05
xx国际集团母子管控诊断报告(宣讲)gl.ppt
二叉树的遍历hahhahaha
05-05
二叉树的遍历hahhahaha
Tello无人机 dart demo.zip
05-05
无人机最强源码,无人机算法,易于部署和学习交流使用
node-v6.17.0-x86.msi
05-05
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
node-v8.4.0-sunos-x86.tar.xz
05-05
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
中国统计NJ澳门面板数据-(更新至2022年)续表.xls
最新发布
05-06
数据来源:中国统计NJ-2023版
DCS 400系列可控硅直流传动系统手册
05-05
DCS 400 手册
node-v10.15.2-linux-ppc64le.tar.xz
05-05
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
Dell Edge Gateway 5000系列 用户手册
05-05
Dell Edge Gateway 5000系列 用户手册
ch_PP-OCRv4_server_rec.onnx
05-05
PP-OCR rec
制作一个模仿Facebook风格的用户名密码登录/注册的html页面
05-24
以下是一个简单的HTML页面,模仿Facebook风格的用户名密码登录/注册页面。可以根据自己的需求进行修改和美化。 ```html <!DOCTYPE html> <html> <head> <title>Facebook登录</title> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <style type="text/css"> body { background-color: #f0f2f5; font-family: Arial, sans-serif; } .container { margin: 100px auto; max-width: 400px; background-color: #fff; padding: 20px; box-shadow: 0 0 10px rgba(0,0,0,0.3); border-radius: 5px; } h1 { font-size: 28px; font-weight: normal; text-align: center; margin-bottom: 20px; } input[type="text"], input[type="password"] { width: 100%; padding: 10px; margin-bottom: 20px; border: none; border-radius: 5px; box-shadow: 0 0 5px rgba(0,0,0,0.1); font-size: 16px; } input[type="submit"] { display: block; margin: 20px auto; background-color: #1877f2; color: #fff; border: none; border-radius: 5px; padding: 10px 20px; font-size: 16px; cursor: pointer; box-shadow: 0 0 5px rgba(0,0,0,0.1); transition: background-color 0.3s; } input[type="submit"]:hover { background-color: #1565c0; } .center { text-align: center; } a { color: #1877f2; text-decoration: none; font-size: 16px; transition: color 0.3s; } a:hover { color: #1565c0; } </style> </head> <body> <div class="container"> <h1>Facebook登录</h1> <form action="#" method="post"> <label for="username">用户名或电子邮件地址</label> <input type="text" id="username" name="username" required> <label for="password">密码</label> <input type="password" id="password" name="password" required> <input type="submit" value="登录"> <div class="center"> <a href="#">忘记密码?</a> </div> <hr> <div class="center"> <a href="#">创建新帐户</a> </div> </form> </div> </body> </html> ``` 该页面包括一个登录表单,包含用户名或电子邮件地址和密码输入框,以及登录按钮。页面还包括一个忘记密码的链接和一个创建新账户的链接。在页面中使用了简单的CSS样式来美化表单。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值