Facebook 在保安方面的漏洞真是罄竹難書,從劍橋分析事件次前就不斷爆出內部沒有嚴謹用戶資料使用條款的問題,後來又出現多次 API 改版,但這次的問題連編輯也覺得實在太誇張。跟隨外媒報導, Ffacebook 有一個嚴重的 Bug ,令到用家在傳輸密碼的時侯不會進一步加密,並以 Plain-text 的方式儲存在他們的資料庫中。
除了代表 Facebook 員工可以看光你的 PW ,當然衍生的問題還有很多,快改掉你的密碼吧!
這次的事件由 Kreb on Security 爆出,而對於網絡安全稍有認識的讀者都應該知道,用家的密碼應該進行 RSA / DES 等加密,再利用其他方式去比對,並不會紀錄起他們原本的密碼,因為把密碼放在資料庫當中,不但內部 Facebook 員工可以直接偷看到過百萬人的密碼,對於黑客來說這是一個天大的驚喜,他們只需要進入資料庫,就有過百萬則的個人帳號和密碼,這永遠是黑市中搶手的「貨品」。
Facebook 對事情一直不知情嗎?根據 Facebook 保安部們的副總裁 Pedro Canahuati 提到,他們在 1 月開始發現有部份的用家密碼一直以「人類能看懂的方式」(也就是純文字)紀錄在資料庫當中,但他強調他們的登入系統是設計成在傳輸的時侯加密,而沒有任何 Facebook 員工以外的人員可以接觸到這些資料。
同時 Canahuati 提到他們已經修正好登入的問題了,目前預計受影響的會有數以億計的 Facebook Lite 用家、過千萬的 Facebook 用家以及幾萬名 Instagram 用家受到影響,可是他們卻沒有計劃重覆這些用家的密碼,只提到用家可以自行重置密碼。
這樣的處理手法,還真的讓人「大開眼界」,對吧?
引用來源:Wired
這篇文章 超離譜!Facebook 竟然以 Plain text 方式儲存超過百萬名用家密碼 最早出現於 TechApple.com。
