看來 Facebook 的資安原則的薄弱程度,可說是超乎所有人想像,而且也只有他們可以超越自己。跟先前劍橋分析(Cambridge Analytica)的個資洩漏案有過之而無不及,Facebook 最近被專家爆料居然自 2012 年來,將用戶的登入憑證資訊以無加密 / 明碼的狀態(就… 一般純文字),並且可被約兩萬名臉書內部的員工 看光光 存取。最有意思的是,臉書在得知此事之後所發的聲明,除了避重就輕說到他們已經在一月發現這個沒有對敏感登入資訊加密的漏洞外,還說「截至目前為止無證據跡象顯示任何內部的人濫用或不當使用這些資料」– 感覺真的是超負責任的啊(反義)。繼續閱讀 Facebook 資安出包無極限 的詳細報導。
▲圖片來源:Facebook
Facebook 資安出包無極限 ,數年來有逾上億用戶帳密可直接被 2 千員工存取
這樣的資安漏洞問題,是由資安專家 Brian Krebs 最近所揭露,表示自 2012 年來數年的時間,Facebook 對內部都沒有針對用戶登入的資訊進行加密,等於直接讓自家共約兩萬名工程師與開發者都可以直接檢視,而且其中有 2,000 名員工曾進行過 900 萬次的相關的搜索。受這次資安問題影響的範圍據臉書的資料,則是包含上億的 Facebook Lite 使用者(其他臉書使用者則是「只有」上千萬),就連部分(數萬)Instagram 用戶也在範圍之中。預計都會被官方另外通知,建議對密碼進行修改。 但其實說真的,不如大家看到這篇報導也就都改了吧。
除了更改密碼外,對於這樣的漏洞狀況,臉書則是發表聲明表示現已修正這種(低級)漏洞,並且用「目前無證據顯示」有被濫用的這種官腔回覆這次的重大資安問題。雖說臉書也有進一步「建議」使用者除了更改 Facebook 與 Instagram 的密碼外,也要避免在不同服務上使用相同的密碼,並且使用較複雜的密碼組合,還推薦可以搭配使用密碼管理應用。
不過小編以為,單是以 Facebook 這樣的平台是否有被盜用登入資訊這事情就已經夠大條了,這些密碼如果被得知後沒用在原本平台,而是轉去嘗試登入別的服務進而造成使用者的狀況,這又如何查證與負責?可以確定的是,在接連不斷的資安問題後, #deletefacebook 刪除臉書的行動應該只會越來越熱絡而已了吧。