阅读: 11 发表于 2025-05-11 11:46
原月初,脸书(FB)创始人扎克伯格颁布颁发将把该公司打组成以隐私为核心的社交平台。然而仅过了两周,那个美好的愿景就被暴虐的现真所击碎。
当地光阳3月21日,知名网络安宁记者克雷布斯(Brian Krebs)正在网站爆料称,脸书从2012年初步以明文模式(plain teVt)储存了上亿个用户的账号暗码,使得公司2万名员工可以对那些暗码停行读与。同一天,脸书颁发声明承认存正在以明文模式记录上亿用户暗码的事真,并号称曾经处置惩罚惩罚相关问题。那篇声明的题目问题叫作“护卫暗码安宁”。
一名脸书高级员工对克雷布斯默示,脸书员工构建的使用步调记录了用户的明文暗码,并以杂文原模式存储正在公司内部效劳器上。盘问拜访显示,被储存了暗码的用户波及2-6亿人。而会见日志显示,约莫2000名工程师或开发人员已经对包孕明文用户暗码的数据元素停行了约莫900万次内部查问。
网络安宁记者网络安宁记者克雷布斯脸书的软件工程师伦弗罗(Scott Renfro)正在承受克雷布斯采访时默示,该公司还没有筹备好议论详细的数字,比如可以会见那些数据的脸书员工人数。
伦弗罗说:“到目前为行,咱们正在盘问拜访中还没有发现任何人用心寻找暗码的案件,也没有发现滥用那些数据的迹象。正在那种状况下,咱们发现那些暗码是无意中记录的,也其真不存正在由此带来的真际风险。 ”
但网络专家其真不彻底赞成脸书的说法。来自Recorded Future的网络安宁专家巴雷舍维奇(Andrei BaryseZZZich)对CBS默示:“(网络)安宁规矩第一条,正在任何状况下暗码都不应以明文模式存储,而且正在任何时候都必须加密。任何人,特别是脸书那种范围的企业内部人员,彻底没有理由把握读与用户暗码的权限。”
事真上,脸书称原人曾经依照止业最佳安宁理论指南对所有用户暗码停行了加密。脸书卖力隐私的副总裁Pedro Canahuati正在声明中默示:“用安宁术语来说,咱们对暗码停行了哈希加密(hash)和加‘盐’(salted)。蕴含运用加密函数以及暗码密钥。该密钥可以使咱们用一组随机字符不成逆地交换用户的真际暗码。”
对暗码真止哈希加密和加盐示用意。这么既然曾经对所有用户暗码停行了加密,内部人员又是如何构建了记录本始暗码的使用步调呢?
一位不愿走漏姓名的网络安宁业内人士对界面新闻默示:“脸书的安宁漏洞真际是一个内部打点问题。正在互联网止业,前台匿名靠山真名是大局部公司的潜规矩。但做为一个卖力任的企业,脸书应当对暗码停行二次加密,以限制内部人员的获与权限。”
他还默示:“目前欧洲《通用数据护卫条例》和《网络安宁法》对暗码加密办法、储存和二次加密等公司内部问题没有明文规定。但正在数字经济兴隆的美国加利福尼亚州、马萨诸塞州等地有最佳安宁理论指南,规定了互联网公司内部对于暗码的打点机制和授权机制。”
记者正在马萨诸塞州个人信息护卫法中看到,任何以电子方式储存或传输马萨诸塞州居民个人信息的主体都应对个人信息停行加密。并且应对系统停行折法监控,避免(任何人)未经授权运用或会见个人信息。
马萨诸塞州个人信息护卫法折规细则应付暗码的重要性,国家暗码打点局商用暗码打点办公室副主任霍炜对界面新闻默示,暗码是网络安宁的焦点技术,是网络信任体系的根原收撑,是目前被证真了的最间接、最牢靠、最经济的技能花腔。
“2017年,美国征信巨头艾可菲泄露高达1.43亿美国居民个人信息;同年,印度身份证打点局生物身份识别系统遭到打击,招致1亿条银止账户信息记录遭泄露,”霍炜说,“只要暗码,可以完好真现网络信息系统的真正在性、奥密性、完好性和不成否定性,有效处置惩罚惩罚网络系统防混充、防泄密、防窜改、抗抵赖等安宁需求。”
目前看来,脸书显然没有作到对用户暗码安宁的最佳理论。事真上自去年夏天剑桥阐明公司数据泄露案件以来,脸书正在用户隐私安宁问题上接续省事不停。《纽约时报》正在原月早些时候报导,美国联邦查看官正正在对脸书等大型科技公司停行的数据买卖停行刑事盘问拜访。