脸书6亿用户密码“裸奔”,科技巨头还有多少安全漏洞?
本月初,脸书(Facebook)创始人扎克伯格宣布将把该公司打造成以隐私为中心的社交平台。然而仅过了两周,这个美好的愿景就被残酷的现实所击碎。
当地时间3月21日,著名网络安全记者克雷布斯(Brian Krebs)在网站爆料称,脸书从2012年开始以明文形式(plain text)储存了上亿个用户的账号密码,使得公司2万名员工可以对这些密码进行读取。同一天,脸书发表声明承认存在以明文形式记录上亿用户密码的事实,并号称已经解决相关问题。这篇声明的题目叫做保护密码安全。
一名脸书高级员工对克雷布斯表示,脸书员工构建的应用程序记录了用户的明文密码,并以纯文本形式存储在公司内部服务器上。调查显示,被储存了密码的用户涉及2-6亿人。而访问日志显示,大约2000名工程师或开发人员曾经对包含明文用户密码的数据元素进行了大约900万次内部查询。
网络安全记者网络安全记者克雷布斯
脸书的软件工程师伦弗罗(Scott Renfro)在接受克雷布斯采访时表示,该公司还没有准备好谈论具体的数字,比如可以访问这些数据的脸书员工人数。
伦弗罗说:到目前为止,我们在调查中还没有发现任何人故意寻找密码的案件,也没有发现滥用这些数据的迹象。在这种情况下,我们发现这些密码是无意中记录的,也并不存在由此带来的实际风险。
但网络专家并不完全同意脸书的说法。来自Recorded Future的网络安全专家巴雷舍维奇(Andrei Barysevich)对CBS表示:(网络)安全规则第一条,在任何情况下密码都不应以明文形式存储,而且在任何时候都必须加密。任何人,尤其是脸书这种规模的企业内部人员,完全没有理由掌握读取用户密码的权限。
事实上,脸书称自己已经按照行业最佳安全实践指南对所有用户密码进行了加密。脸书负责隐私的副总裁Pedro Canahuati在声明中表示:用安全术语来说,我们对密码进行了哈希加密(hash)和加盐(salted)。包括使用加密函数以及密码密钥。该密钥可以使我们用一组随机字符不可逆地替换用户的实际密码。
对密码实行哈希加密和加盐示意图。
那么既然已经对所有用户密码进行了加密,内部人员又是如何构建了记录原始密码的应用程序呢?
一位不愿透露姓名的网络安全业内人士对界面新闻表示:脸书的安全漏洞实际是一个内部管理问题。在互联网行业,前台匿名后台实名是大部分公司的潜规则。但作为一个负责任的企业,脸书应该对密码进行二次加密,以限制内部人员的获取权限。
他还表示:目前欧洲《通用数据保护条例》和《网络安全法》对密码加密方法、储存和二次加密等公司内部问题没有明文规定。但在数字经济发达的美国加利福尼亚州、马萨诸塞州等地有最佳安全实践指南,规定了互联网公司内部关于密码的管理机制和授权机制。
记者在马萨诸塞州个人信息保护法中看到,任何以电子方式储存或传输马萨诸塞州居民个人信息的主体都应对个人信息进行加密。并且应对系统进行合理监控,防止(任何人)未经授权使用或访问个人信息。
马萨诸塞州个人信息保护法合规细则
对于密码的重要性,国家密码管理局商用密码管理办公室副主任霍炜对界面新闻表示:密码是整个网络信任体系的基础支撑。2017年,美国征信巨头艾可菲泄露高达1.43亿美国居民个人信息;同年,印度身份证管理局生物身份识别系统受到攻击,导致1亿条银行账户信息记录遭泄露。只有密码,可以完整实现网络信息系统的真实性、机密性、完整性和不可否认性,有效解决网络系统防假冒、防泄密、防篡改、抗抵赖等安全需求。
目前看来,脸书显然没有做到对用户密码安全的最佳实践。事实上自去年夏天剑桥分析公司数据泄露案件以来,脸书在用户隐私安全问题上一直麻烦不断。《纽约时报》在本月早些时候报道,美国联邦检察官正在对脸书等大型科技公司进行的数据交易进行刑事调查。