臉書無加密儲6億帳號密碼
2萬員工可任看 被質疑侵犯個人隱私
【綜合報道】臉書有多達6億的用戶密碼曝光,還好只有內部看得到。2萬名臉書僱員,隨時可以進入帳戶的密碼儲存,為員工可見的文本模式,再度被質疑其侵犯個人隱私,臉書說問題已經解決。
臉書資安維護再度出問題,據報道,這個問題可能從2012年開始就存在,大約6億帳戶的密碼,在內部系統上,是以文本呈現。
臉書表示,目前沒有任何證據顯示其員工濫用該數據,密碼信息僅存在內部服務器中,外部人員沒有訪問權限。
而網絡安全專家指所有用戶資料及密碼都應用加密方法儲存,不應使用文本(plain text)儲存。
揭露這件事的防毒專家說,是臉書內部人士爆料給他,臉書宣稱,密碼曝光僅限於系統內,外面的人看不到,內部調查沒有發現有員工入侵或濫用用戶的個資。
將用戶的密碼儲存為可讀文本中的行為違反了網路安全的規定,科技公司Recorded Future的網路安全專家巴里斯維基(Andrei Barysevich)表示,任何機構都沒有正當理由來閱讀用戶的密碼,「尤其是具有像臉書一樣規模的機構」;網路安全博客KrebsOnSecurity表示,臉書已泄露了大約6億個用戶密碼,讓用戶信息處於危險中。
巴里斯維基表示,從未見過有如此規模的公司在內部泄露如此龐大的密碼數據;運營haveibeenpwned.com網站的安全分析師侯俊偉(Troy Hunt)表示,臉書目前的處境非常尷尬,如果臉書的競爭對手獲得用戶密碼的訪問權限,後果將不堪設想
臉書承認今年1月在例行安全檢查中,就發現了這個問題,密碼曝光的帳戶,多數是Facebook Lite、也就是臉書輕量版的使用者,這是臉書專為網路比較不普及、網速比較慢的地區設計,它更省網路流量。
臉書將開始通知受影響的用戶,建議他們更改密碼。
擁有27億用戶的臉書,這兩年不斷爆發用戶個資外泄醜聞,除了形象受損之外,它也面臨多項調查與罰款。