最新產業新聞文章

Image credit:

超過 20,000 名 Facebook 員工能取存用戶密碼

有 6 億個密碼以純文字儲存。

Eric Chan , @erichankc
2019 年 3 月 22 日, 早上 10:22
分享次數
分享
分享
Twitter 發表
line
電郵
儲存

Facebook 資安事故一波未平、一波又起,他們剛主動交代一宗在一月時發現的問題,據指有部份用戶的密碼被以純文字方式儲存伺服器中,並沒有按程序地被屏蔽,使得超過 20,000 名 Facebook 員工都有可能存取到這些密碼。

Facebook 表示他們將會向受影響的用戶發出通知,其中逾千萬人是 Facebook Lite 應用程式的用戶,這是個針對緩慢網路環境和低配置手機而開發的版本。另外也有逾千萬的一般版 Facebook 用戶和數萬名 IG 使用者受影響。

這些以純文字儲存的密碼,一旦被不法份子獲得就會不堪設想,但 Facebook 強調這些登入憑證「不可能被外部人士看到」,Facebook 工程、安全和隱私副總裁 Pedro Canahuati 則表示,他們沒有找到證據顯示有內部人士濫用或不恰當地存取這些數據。

雖然 Facebook 避重就輕地描述事件,但 Krebs on Security 接獲匿名的 Facebook 高級員工爆料,指這些被以純文字方式儲存的密碼高達 6 億筆,其中更有的登入憑證是在 2012 年就被以這方式儲存。據說有 20,000 名 Facebook 員工有能力搜尋到這些數據,而截至 2018 年底,Facebook 總員工數為 35,587 名,換句話說就是大部分員工都可以看到這些密碼。同時也有指在取存記錄中,有約 2,000 名工程師或開發者「曾進行過約 900 萬則包含純文字密碼數據的內部查詢」。

Facebook 這次的資安事故自然需要好好善後了,但會否像早前涉嫌把數據分享予第三方企業而被聯邦調查局調查呢?同時 Facebook 的二步驟認證更被發現沒法真正提供保護。然而 CEO Mark Zuckerberg 透露過他們正把 Facebook 轉變成「專注隱私」的社交網絡的願景,似乎他們要加緊腳步才可以了。