Facebook:我們以純文本形式存儲了數(shù)億個密碼
Facebook,F(xiàn)acebook Lite和Instagram密碼以“可讀格式”存儲,預(yù)計(jì)會有數(shù)億受影響的用戶收到通知。
社交媒體巨頭透露,F(xiàn)acebook在其內(nèi)部系統(tǒng)中以純文本存儲了數(shù)億用戶的密碼。
“作為1月份例行安全審查的一部分,我們發(fā)現(xiàn)一些用戶密碼以可讀格式存儲在我們的內(nèi)部數(shù)據(jù)存儲系統(tǒng)中。這引起了我們的注意,因?yàn)槲覀兊牡卿浵到y(tǒng)旨在使用使其無法讀取的技術(shù)來屏蔽密碼“Facebook的工程,安全和隱私副總裁Pedro Canahuati在博客文章中說道。
Canahuati表示,作為預(yù)防措施,F(xiàn)acebook將通知以這種方式存儲密碼的所有人。Facebook表示,公司以外的任何人都不會看到這些密碼,并且發(fā)現(xiàn)“迄今沒有任何證據(jù)證明”任何人都在內(nèi)部濫用或不正當(dāng)?shù)卦L問這些密碼。
Facebook表示,它必須通知數(shù)億Facebook Lite用戶,數(shù)千萬其他Facebook用戶以及數(shù)萬名Instagram用戶。Facebook Lite是Facebook的一個版本,主要由連接較低的地區(qū)的人們使用。
根據(jù)最佳安全實(shí)踐,F(xiàn)acebook表示,一般來說,它會在創(chuàng)建帳戶時屏蔽人們的密碼,以便公司中的任何人都無法看到。
“在安全方面,我們'密碼'和'鹽'密碼,包括使用一個名為”scrypt“的函數(shù)以及一個加密密鑰,它允許我們用一組隨機(jī)字符不可逆轉(zhuǎn)地替換你的實(shí)際密碼,”它說。
“通過這種技術(shù),我們可以驗(yàn)證一個人是否使用正確的密碼登錄,而無需以純文本形式存儲密碼。”
以可讀格式存儲數(shù)億個密碼是社交媒體巨頭的另一大尷尬,該社交媒體巨頭已經(jīng)在如何處理其用于傳播假新聞和虛假信息的平臺以及其他公司從其用戶的個人資料中獲取數(shù)據(jù)方面遇到困難然后將其傳遞給第三方。
本月早些時候,首席執(zhí)行官馬克·扎克伯格(Mark Zuckerberg)試圖在這些隱私行中劃清界線,承諾該公司將重建其加密和隱私方面的許多服務(wù)。
“我知道很多人不認(rèn)為Facebook可以或甚至不想建立這種以隱私為重點(diǎn)的平臺 - 因?yàn)樘孤实卣f,我們目前在構(gòu)建隱私保護(hù)服務(wù)方面沒有很高的聲譽(yù),而且我們一直關(guān)注關(guān)于更開放分享的工具,“扎克伯格當(dāng)時在帖子中寫道。