xml地图|网站地图|网站标签 [设为首页] [加入收藏]
当前位置: 威尼斯手机娱乐官网 > 游戏中心 > 正文

明文存储近,Twitter自爆重大漏洞

时间:2020-02-08 04:45来源:游戏中心
现在,很难用现有的隐私政策、安全策略等借口去掩盖这个事实:在北京时间今天凌晨,根据Krebson Security 报道,Facebook确认了密码管理系统的一个漏洞,这个漏洞可导致数亿的 Faceboo

威尼斯手机娱乐官网 1

现在,很难用现有的隐私政策、安全策略等借口去掩盖这个事实:在北京时间今天凌晨,根据Krebs on Security 报道,Facebook 确认了密码管理系统的一个漏洞,这个漏洞可导致数亿的 Facebook 帐号、Instagram 以及 Facebook Lite 的明文密码泄漏。这意味着数万名 Facebook 员工可以直接查阅明文的密码。Krebs 的文章称这种情况可以追溯到 2012 年。

今天,据外媒VentureBeat报道,社交媒体Twitter称其发现了该公司存储用户密码时的一个漏洞,这意味着可能有3.3亿Twitter月活跃用户的密码存在被泄露的风险。

一般来说,网站的运营者可以通过使用特定的单方加密的方法将密码存储在服务器上。通过这种方法,即时有人获得了这个密码,他们也无法知道这个密码具体是什么,这种已加密的密码也几乎不可能被利用起来。作为一个服务数亿用户的公司,Facebook 一定知道他们要面对的是一大批的黑客,并且他们要尽可能避免发生密码泄漏的可能性,避免发生严重的安全灾难。不幸的是,一个敞开的窗户让这些铜墙铁壁般的安全防御措施彻底失效。

事件详情

威尼斯手机娱乐官网 2

Twitter首席技术官帕拉格·阿格拉瓦尔透露,最近在散列处理过程中发现了一个漏洞,导致密码以普通文本形式存储在Twitter的内部日志中,散列是将密码转换成随机字符串的过程。这个漏洞导致密码“被写入内部日志中,然后完成散列处理过程”。阿格拉瓦尔表对此达歉意,他写道:“我们承认并感激你们给予的信任,并致力于每天都赢得这种信任。”

Facebook 方面的解释

此外,Twitter在博客中表示:“因为这个漏洞,在散列过程之前,用户密码会被存储在公司计算机系统的一个内部日志中。我们自己发现了这一漏洞,加以修复,并正部署措施预防这一漏洞再度出现。”Twitter在博客中还表示:“我们对发生的这一切感到非常抱歉。”

" 在一月份的日常安全巡查过程中,我们发现部分用户的密码在内部数据存储系统里可以被任意读取,"Facebook 安全隐私副总裁 Pedro Canahuati 在声明中是这么说的 " 我们的登录系统已经是使用顶尖的技术去对密码进行加密。我们可以这么说,这些密码绝对不会在 Facebook 以外的任何一个人能够看到,我们迄今为止也未发现有任何公司外部人员曾经访问过这些数据。"

威尼斯手机娱乐官网,漏洞已修复

Canahuati 称 Facebook 现在已经修复了这个密码记录问题,并且 Facebook 将通知数亿 Facebook 用户和数千万 Instagram 用户,提醒他们去更换密码。并且,Facebook 并灭有计划去重置用户密码。

Twitter方面表示,这个漏洞是最近才发现的,并未透露究竟有多少用户密码受到影响,目前已修补该漏洞。Twitter该漏洞是在公司内部发现的,而且内部调查未发现这些密码被黑客偷盗,或者是被公司内部人士误用。不过即便是如此,仍正推荐用户在Twitter上更改他们的密码,并更新其他使用与Twitter密码相同的账号。同时,Twitter建议用户采取预防措施,确保他们的帐户是安全的,包括更改密码,并启用Twitter的双重身份验证服务,以防止帐户被黑客劫持。

作为一个这么庞大的目标,Facebook 很少出现安全方面的技术错误,并且遇到这次事件的时候也并没有逃避。但是这个公司从 9 月份的违规操作就已经开始备受质疑,其中攻击者通过破坏用户登录的账户信息,窃取了 3000 万用户的数据。

建议更改密码

上述事件间接的帮助 Facebook 发现这个明文存储密码的问题以及导致出现这种情况的漏洞,这个事件引发了这场找出过失的安全检查。" 在我们的安全检查中,我们一直在研究我们存储各种信息的方式——例如访问凭证——并且我们在发现问题的时候就要把问题解决掉。" 据 Canahuati 称。

即便Twitter声称已经修复了漏洞,但是密码安全问题还是让用户揪心。据悉,前不久Equifax、Facebook和Uber等一系列安全事件接连发生,全球立法者和监管部门开始对企业存储和保护用户数据进行详查。有消息人士透露,此次受Twitter影响的用户密码数量“非常巨大”,这个隐患已隐藏数月。此外,Twitter在几周之前发现了这一漏洞,并向部分监管机构报告了此事。

牛津大学技术和全球事务中心的独立网络安全顾问兼助理研究员 Lukasz Olejnik 表示:" 好消息是,他们在积极主动的处理这个问题。据说,他们是在一次审计中发现这一问题,所以从这个层面上来说,过去的安全问题加上这次的数据泄露安全问题,往后 Facebook 公司的审计规则应该会更加标准。"

事件影响

Facebook 告诉 WIRED,被泄露的密码不可能全部存储在一个地方,并且问题也不是出自密码管理系统的某个漏洞(可能是多个漏洞引起)。相反,公司是无意间通过一些内部机制和存储系统,捕获到的明文密码。

据了解,欧盟的新隐私法规《通用数据保护条例》将于本月底生效。该条例要求服务商必须征得用户同意,才能使用用户的个人数据。如果违反该条例,企业将会面临重罚。这意味着,科技公司在欧洲必须提醒用户针对重要数据进行权限设置,并且默认隐私设置必须是共享内容最小化的选项甚至是不共享数据。

Facebook 表示,这件事情的性质导致这个问题更加复杂,很难被理解,也很难修复。公司内部已经花了将近两个月的时间去调查该问题,并试图披露调查结果。

援引外媒数据,Twitter股价周四在纽交所常规交易中上涨0.12美元,涨幅为0.39%,报收于30.67美元。但受此消息影响,Twitter股价下跌0.16美元,跌幅为0.52%,报收于30.51美元。

像 Facebook 这种拥有大规模用户数据的公司,应该保持网络流量日志清晰有条理。当发生脱机、漏洞或者其他安全问题时,才可更好更快的追溯问题根源。在某些情况下,Facebook 拉取这些数据也属正常,但问题是,为什么 Facebook 要把含有敏感数据的日志存储这么久,为什么公司对此事一无所知。

隐私问题无小事,看到Facebook和Twitter因为隐私安全问题导致的后果,希望能够给相关企业敲响警钟,并推动相关监管制度的完善。

Open Crypto Audit Project 的安全工程师和主管 Kenn White 表示:" 作为调试 bug 的一部分,捕获用户数据,以及操纵如此大规模的网络数据,这些事情是很不正常的。但 Facebook 能存储这些数据长达数年之久,就说明他们的架构存在很多问题。他们有义务保护调试日志安全,并且需要对存储的的日志进行审计。从某种意义上来说,他们拥有的是最为敏感的数据,因为这些数据未经任何处理,也没有托管在任何地方。"

有关Twitter:

去年 5 月份,Twitter 也发生过一起类似事件——用户的明文密码泄露。他们没有第一时间要求用户更改密码,而是表示他们的密码没有泄露。同样,Facebook 也表示,据他们的调查显示,没有任何迹象表明有人窃取了他们数亿的用户密码。

《Twitter》这款社交聊天软件想必就不需要多介绍了,在Twitter推特手机客户端中聚集了社会各界的人士,无论你是学生还是上班族,或是兴趣爱好者,在这里,你都能找到你想要的。点击下载:Twitter安卓版

建议

相关阅读:

不管你是否收到 Facebook 的更改密码通知,你都应该立马去更改你的密码。

>>>Facebook推出数据滥用悬赏计划:为脸书关键一搏!

Facebook 表示明文密码问题现在已经修复,并且他们认为此次事件不会产生长期影响,因为密码从未真正被盗过。但考虑到 Facebook 已经多次的爆发安全危机,很难知道接下来会发生什么。

编辑:游戏中心 本文来源:明文存储近,Twitter自爆重大漏洞

关键词: