6亿用户密码可被员工读取 脸书又爆重大安全漏洞
参考消息网3月23日报道 境外媒体称,脸书网站说,大量的用户密码被不恰当地存储在内部系统中,其存储形式使得网站员工可以查看这些密码。
美国《华尔街日报》网站3月21日报道称,这是该社交媒体巨头的又一起隐私管理混乱事件。
脸书网站负责工程、安全和隐私事务的副总裁佩德罗·卡纳瓦蒂在3月21日发布的帖子中说,公司估计,将通知数以亿计的脸书Lite应用程序用户、数以千万计的其他脸书网站用户,以及数以万计的Instagram用户。卡纳瓦蒂说,公司已解决这些问题。
报道称,3月21日早些时候,安全新闻网站KrebsOnSecurity.com网站报道了这起密码内部暴露事件。独立安全调查员布莱恩·克雷布斯援引脸书网站匿名高管的话写道,多达6亿个用户密码遭到暴露。
克雷布斯的报告称,多达2万名脸书网站员工以及约2000名公司开发商和工程师都可以查看含有密码信息的文件。
卡纳瓦蒂说,在2019年1月进行的例行安全审查中,脸书网站发现了该问题。
他说,在审查过程中,脸书网站查看一些信息的存储方式,比如登录密码,并在发现问题后予以解决。尽管“作为预防措施”,脸书网站将通知密码被不安全存储的用户,可是目前没有计划要求用户重置密码。
卡纳瓦蒂表示,脸书网站的登录系统设计是为了掩藏用户真实密码,将其转变成加密密码,其转变方式是无法取消的。他的帖子没有解释这次为何大量登录信息没有以这种方式进行处理。
报道称,6个月前脸书网站发生过数据泄露事件,这次又是安全失误。在数据泄露事件中,脸书网站称,攻击者设法获取了约5000万用户的姓名、性别和家乡等数据。
报道指出,此次安全失误恰逢联邦贸易委员会审查脸书网站的隐私政策及其对用户数据的处理方式。尽管此次调查是在政治咨询公司剑桥分析公司获得脸书网站用户数据的丑闻爆发后进行的,但脸书网站说,它让联邦贸易委员会随时掌握关于其他隐私及数据处理失误的最新情况。
另据台湾“中央社”3月21日报道,脸书当天承认数亿用户的密码以未加密明码,储存于公司内部服务器,安全漏洞让用户隐私全摊在脸书员工面前。
报道援引法新社消息称,卡纳瓦蒂说:“准确来说,这些密码从未公布给脸书之外的人士。我们至今也尚未发现有证据显示,有内部人员滥用或不当取得密码的行为。”
脸书公司调查指出,大部分受影响的是脸书Lite应用程序使用者,该应用主要为网络较不普及或网速缓慢的国家所用。
报道介绍,总部位于美国加州的脸书估计拥有27亿使用者,旗下业务主要为社交平台、Instagram和即时通讯软件应用程序。