■facebook再爆出重大安全漏洞。美聯社社交網站facebook又爆出重大安全漏洞!美國網絡安全專家克雷布斯前日揭發,fb至少從2012年起,將多達6億用戶的私人密碼,以非加密的純文字(plain text)形式儲存,其間超過2萬名fb員工可以隨時查看相關內容,令用戶私隱恐有外洩之虞。
fb證實事件,並承認多達數以千計員工可能曾經搜尋相關檔案,不過公司卻聲稱無證據顯示員工濫用這些數據。不少專家對於fb竟會犯上如此低級錯誤感到匪夷所思,呼籲用戶立即更改密碼。
fb工程、安全和私隱部門副總裁卡納瓦蒂表示,公司是在1月例行安全檢查中,發現內部伺服器非故意地儲存了未經加密的密碼,導致問題的成因眾多,例如當手機應用程式(app)故障並傳回故障報告時,意外將未經加密密碼包括在內。
卡納瓦蒂表示,受影響用戶包括2015年推出的fb Lite用家、數以萬計Instagram用戶,以及數千萬fb用家。fb是在2012年收購Instagram,亦即非加密密碼最早出現的年份。
專家:基本原則也做不好
卡納瓦蒂表示公司已經修復漏洞,包括用亂數密鑰重新處理相關密碼,所有密碼出現在檔案中的用家稍後亦會接到通知。
不過網絡安全專家對於fb的解釋表示不收貨,得州網絡安全公司Threatcare行政總裁凱里說:「加密密碼是資訊科技安全101(基本常識),如果他們連這點基本原則也搞錯,肯定無法處理更嚴峻的安全挑戰。」
麻省資訊安全公司Recorded Future專家巴雷舍維治也指,一家如此規模的網絡企業將用戶密碼公諸於世,簡直前所未聞。
■法新社/美聯社