臉書6億用戶密碼“裸奔”，科技巨頭還有多少安全漏洞？

記者 | 劉芳

本月初，臉書（Facebook）創始人祖克柏宣布將把該公司打造成以隱私為中心的社交平台。然而僅過了兩周，這個美好的願景就被殘酷的現實所擊碎。

當地時間3月21日，著名網絡安全記者克雷布斯（Brian Krebs）在網站爆料稱，臉書從2012年開始以明文形式（plain text）儲存了上億個用戶的账號密碼，使得公司2萬名員工可以對這些密碼進行讀取。同一天，臉書發表聲明承認存在以明文形式記錄上億用戶密碼的事實，並號稱已經解決相關問題。這篇聲明的題目叫做“保護密碼安全”。

一名臉書高級員工對克雷布斯表示，臉書員工構建的應用程序記錄了用戶的明文密碼，並以純文本形式存儲在公司內部伺服器上。調查顯示，被儲存了密碼的用戶涉及2-6億人。而訪問日誌顯示，大約2000名工程師或開發人員曾經對包含明文用戶密碼的數據元素進行了大約900萬次內部查詢。

網絡安全記者網絡安全記者克雷布斯

臉書的軟體工程師倫弗羅（Scott Renfro）在接受克雷布斯採訪時表示，該公司還沒有準備好談論具體的數字，比如可以訪問這些數據的臉書員工人數。

倫弗羅說：“到目前為止，我們在調查中還沒有發現任何人故意尋找密碼的案件，也沒有發現濫用這些數據的跡象。在這種情況下，我們發現這些密碼是無意中記錄的，也並不存在由此帶來的實際風險。 ”

但網絡專家並不完全同意臉書的說法。來自Recorded Future的網絡安全專家巴雷舍維奇（Andrei Barysevich）對CBS表示：“（網絡）安全規則第一條，在任何情況下密碼都不應以明文形式存儲，而且在任何時候都必須加密。任何人，尤其是臉書這種規模的企業內部人員，完全沒有理由掌握讀取用戶密碼的權限。”

事實上，臉書稱自己已經按照行業最佳安全實踐指南對所有用戶密碼進行了加密。臉書負責隱私的副總裁Pedro Canahuati在聲明中表示：“用安全術語來說，我們對密碼進行了哈希加密（hash）和加‘鹽’（salted）。包括使用加密函數以及密碼密鑰。該密鑰可以使我們用一組隨機字元不可逆地替換用戶的實際密碼。”

對密碼實行哈希加密和加鹽示意圖。

那麽既然已經對所有用戶密碼進行了加密，內部人員又是如何構建了記錄原始密碼的應用程序呢？

一位不願透露姓名的網絡安全業內人士對界面新聞表示：“臉書的安全漏洞實際是一個內部管理問題。在互聯網行業，前台匿名後台實名是大部分公司的潛規則。但作為一個負責任的企業，臉書應該對密碼進行二次加密，以限制內部人員的獲取權限。”

他還表示：“目前歐洲《通用數據保護條例》和《網絡安全法》對密碼加密方法、儲存和二次加密等公司內部問題沒有明文規定。但在數字經濟發達的美國加利福尼亞州、馬薩諸塞州等地有最佳安全實踐指南，規定了互聯網公司內部關於密碼的管理機制和授權機制。”

記者在馬薩諸塞州個人信息保護法中看到，任何以電子方式儲存或傳輸馬薩諸塞州居民個人信息的主體都應對個人信息進行加密。並且應對系統進行合理監控，防止（任何人）未經授權使用或訪問個人信息。

馬薩諸塞州個人信息保護法合規細則

對於密碼的重要性，國家密碼管理局商用密碼管理辦公室副主任霍煒對界面新聞表示：“密碼是整個網絡信任體系的基礎支撐。2017年，美國征信巨頭艾可菲洩露高達1.43億美國居民個人信息；同年，印度身份證管理局生物身份識別系統受到攻擊，導致1億條銀行账戶信息記錄遭洩露。只有密碼，可以完整實現網絡信息系統的真實性、機密性、完整性和不可否認性，有效解決網絡系統防假冒、防泄密、防篡改、抗抵賴等安全需求。”

目前看來，臉書顯然沒有做到對用戶密碼安全的最佳實踐。事實上自去年夏天劍橋分析公司數據洩露案件以來，臉書在用戶隱私安全問題上一直麻煩不斷。《紐約時報》在本月早些時候報導，美國聯邦檢察官正在對臉書等大型科技公司進行的數據交易進行刑事調查。