臉書6億用戶密碼遭洩露,科技龍頭還有多少安全漏洞?
合作媒體:界面 / 林宛賢編譯
2019-03-23 11:00

本月初,臉書(Facebook)創始人祖克柏格宣布將把該公司打造成以隱私為中心的社交平台。然而僅過了兩周,這個美好的願景就被殘酷的現實所擊碎。

 

3月21日,著名網路安全記者克萊布斯Brian Krebs在網站爆料稱,臉書從2012年開始以純文字檔(.TXT檔)儲存了上億個用戶的帳號密碼,使得公司2萬名員工可以對這些密碼進行讀取。同一天,臉書發表聲明承認存在以純文字檔形式記錄上億用戶密碼的事實,並號稱已經解決相關問題。這篇聲明的題目叫做「保護密碼安全」。

 

一名臉書資深員工對克萊布斯表示,臉書員工構建的應用程序記錄了用戶的明文密碼,並以純文字檔存儲在公司內部服務器上。調查顯示,被儲存了密碼的用戶涉及2-6億人。而訪問日誌顯示,大約2000名工程師或開發人員,曾經對包含明文用戶密碼的數據元素進行了大約900萬次內部查詢。

 

臉書的軟體工程師Scott Renfro在接受克萊布斯採訪時表示,該公司還沒有準備好談論具體的數字,比如可以看到這些數據的臉書員工人數。

 

Renfro說:「到目前為止,我們在調查中還沒有發現任何人故意尋找密碼的案件,也沒有發現濫用這些數據的跡象。在這種情況下,我們發現這些密碼是無意中記錄的,也並不存在由此帶來的實際風險。 」

 

但網路專家並不完全同意臉書的說法。來自Recorded Future的網路安全專家Andrei Barysevich對CBS表示:「(網路)安全規則第一條,在任何情況下密碼都不應以純文字檔儲存,而且在任何時候都必須加密。任何人,尤其是臉書這種規模的企業內部人員,完全沒有理由掌握讀取用戶密碼的權限。」

 

事實上,臉書稱自己已經按照了產業中最佳安全實踐指南,對所有用戶密碼進行了加密。臉書負責隱私的副總裁Pedro Canahuati在聲明中表示:「用安全術語來說,我們對密碼進行了雜湊加密(hash)和加『鹽(salted)』。包括使用加密函數以及密碼密鑰。該密鑰可以使我們用一組隨機字符不可逆地替換用戶的實際密碼。」

 

那麽既然已經對所有用戶密碼進行了加密,內部人員又是如何構建了記錄原始密碼的應用程式呢?

 

一位不願透露姓名的網路安全業內人士對界面新聞表示:「臉書的安全漏洞實際是一個內部管理問題。在網路行業,前台匿名後台實名是大部分公司的潛規則。但作為一個負責任的企業,臉書應該對密碼進行二次加密,以限制內部人員的獲取權限。」

 

他還表示:「目前歐洲《通用數據保護條例》和《網路安全法》對密碼加密方法、儲存和二次加密等公司內部問題沒有明文規定。但在數字經濟發達的美國加州、麻州等地有最佳安全實踐指南,規定了網路公司內部關於密碼的管理機制和授權機制。」

 

記者在麻州個人資料保護法中看到,任何以電子方式儲存或傳輸麻州居民個人資料的主體,都應對個人資料進行加密。並且應對系統進行合理監控,防止(任何人)未經授權使用或訪問個人資料。

 

對於密碼的重要性,國家密碼管理局商用密碼管理辦公室副主任霍煒,對界面新聞表示:「密碼是整個網路信任體系的基礎支撐。2017年,美國信用報告公司龍頭艾可菲(Equifax)洩漏高達1.43億美國居民個人資料;同年,印度身份證管理局生物身份識別系統受到攻擊,導致1億條銀行帳戶資料記錄遭洩漏。只有密碼,可以完整實現網路資料系統的真實性、機密性、完整性和不可否認性,有效解決網路系統防假冒、防洩密、防篡改、抗抵賴等安全需求。」

 

目前看來,臉書顯然沒有做到對用戶密碼安全的最佳實踐。事實上自去年夏天劍橋分析公司數據洩漏案件以來,臉書在用戶隱私安全問題上一直麻煩不斷。《紐約時報》在本月早些時候報導,美國聯邦檢察官正在對臉書等大型科技公司進行的數據交易進行刑事調查。

 

(以上圖文由界面新聞授權,原文:臉書6億用戶密碼“裸奔”,科技巨頭還有多少安全漏洞?