看来 Facebook 的资安原则的薄弱程度,可说是超乎所有人想像,而且也只有他们可以超越自己。跟先前剑桥分析(Cambridge Analytica)的个资泄漏案有过之而无不及,Facebook 最近被专家爆料居然自 2012 年来,将用户的登入凭证资讯以无加密 / 明码的状态(就… 一般纯文字),并且可被约两万名脸书内部的员工 看光光 存取。最有意思的是,脸书在得知此事之后所发的声明,除了避重就轻说到他们已经在一月发现这个没有对敏感登入资讯加密的漏洞外,还说“截至目前为止无证据迹象显示任何内部的人滥用或不当使用这些资料”– 感觉真的是超负责任的啊(反义)。继续阅读 Facebook 资安出包无极限 的详细报导。
▲图片来源:Facebook
Facebook 资安出包无极限 ,数年来有逾上亿用户帐密可直接被 2 千员工存取
这样的资安漏洞问题,是由资安专家 Brian Krebs 最近所揭露,表示自 2012 年来数年的时间,Facebook 对内部都没有针对用户登入的资讯进行加密,等于直接让自家共约两万名工程师与开发者都可以直接检视,而且其中有 2,000 名员工曾进行过 900 万次的相关的搜索。受这次资安问题影响的范围据脸书的资料,则是包含上亿的 Facebook Lite 使用者(其他脸书使用者则是“只有”上千万),就连部分(数万)Instagram 用户也在范围之中。预计都会被官方另外通知,建议对密码进行修改。 但其实说真的,不如大家看到这篇报导也就都改了吧。
除了更改密码外,对于这样的漏洞状况,脸书则是发表声明表示现已修正这种(低级)漏洞,并且用“目前无证据显示”有被滥用的这种官腔回复这次的重大资安问题。虽说脸书也有进一步“建议”使用者除了更改 Facebook 与 Instagram 的密码外,也要避免在不同服务上使用相同的密码,并且使用较复杂的密码组合,还推荐可以搭配使用密码管理应用。
不过小编以为,单是以 Facebook 这样的平台是否有被盗用登入资讯这事情就已经够大条了,这些密码如果被得知后没用在原本平台,而是转去尝试登入别的服务进而造成使用者的状况,这又如何查证与负责?可以确定的是,在接连不断的资安问题后, #deletefacebook 删除脸书的行动应该只会越来越热络而已了吧。
引用来源
