Meta 因存储数亿个明文密码而付出代价

Meta 因存储数亿个明文密码而付出代价

爱尔兰官员对 Meta 处以 1.01 亿美元的罚款,原因是该公司以纯文本形式存储了数亿用户密码,并向公司员工公开。

Facebook 应用程序以明文形式记录用户的密码,因为为什么不Meta在 2019 年初披露了这一失误。该公司表示,用于连接 Meta 旗下各个社交网络的应用程序已将用户密码以明文形式记录下来,并将其存储在一个数据库中,该数据库已被大约 2,000 名公司工程师搜索过,他们总共对该存储进行了超过 900 万次查询。

Meta被调查五年

Meta 的官员当时表示,该错误是在对公司内部网络数据存储实践进行例行安全审查时发现的。他们还表示,没有发现任何证据表明有人在内部不当访问了密码,也没有发现公司外部人员曾访问过密码。

尽管有这些保证,但此次披露还是暴露了 Meta 的重大安全漏洞。三十多年来,几乎每个行业的最佳做法都是对密码进行加密哈希处理。哈希处理是指通过单向加密算法传递密码的做法,该算法会为每个唯一的明文输入分配一个唯一的长字符串。

由于转换只在一个方向上进行(从纯文本到哈希),因此没有加密方法可以将哈希转换回纯文本。最近,这些最佳实践已成为世界各国法律法规的强制性要求。

由于哈希算法是单向的,因此获取相应明文的唯一方法就是猜测,这个过程可能需要大量的时间和计算资源。哈希密码背后的理念类似于房屋火灾保险的理念。在发生紧急情况时(一种情况是密码数据库被黑客入侵,另一种情况是房屋起火),这种保护措施可以使利益相关者免受更严重的伤害。

要使哈希方案按预期发挥作用,它们必须遵循一系列要求。其中之一是哈希算法必须以需要大量计算资源的方式设计。这使得 SHA1 和 MD5 等算法不合适,因为它们旨在以最少的计算快速散列消息。相比之下,专门为散列密码设计的算法(例如 Bcrypt、PBKDF2 或 SHA512crypt)速度很慢,并且消耗大量内存和处理能力。

另一个要求是算法必须包含加密“加盐”,即在对明文密码进行哈希处理之前,向其添加少量额外字符。加盐进一步增加了破解哈希所需的工作量。破解是将大量猜测(通常以亿计)通过算法并将每个哈希与被攻破数据库中的哈希进行比较的过程。

散列的最终目的是只以散列格式存储密码,而不是以纯文本形式存储。这样可以防止黑客和恶意内部人员在不首先耗费大量资源的情况下使用数据。

当 Meta 在 2019 年披露这一失误时,很明显该公司未能充分保护数亿个密码。

爱尔兰数据保护委员会副专员 Graham Doyle表示:“考虑到访问此类数据可能引发滥用风险,人们普遍认为用户密码不应以明文形式存储。必须牢记的是,本案中讨论的密码特别敏感,因为它们将允许访问用户的社交媒体账户。”

进一步阅读

Facebook因将欧盟数据传输至美国被处以创纪录的12亿欧元GDPR罚款自 Meta 五年多前披露此事以来,欧盟委员会一直在调查此事。作为欧盟监管大多数美国互联网服务的政府机构,欧盟委员会本周对 Meta 处以 1.01 亿美元(9100 万欧元)的罚款。迄今为止,欧盟已对 Meta 处以超过 22.3 亿美元(20 亿欧元)的罚款,原因是该公司违反了 2018 年生效的《通用数据保护条例》(GDPR)。该金额包括去年创纪录的 13.4 亿美元(12 亿欧元)罚款,Meta 正在对此提出上诉。

原创文章,作者:点点,如若转载,请注明出处:https://www.dian8dian.com/meta-yin-cun-chu-shu-yi-ge-ming-wen-mi-ma-er-fu-chu-dai-jia

Like (0)
点点的头像点点
Previous 2024年9月30日
Next 2024年9月30日

相关推荐

发表回复

Please Login to Comment