今年9月底,Facebook的“Vew As”(戳藍字即可閱讀)功能中存在一個漏洞,使得攻擊者竊取了50萬個賬戶的訪問許可權,從而接管使用者帳戶。現在,Facebook旗下Instagram,由於工具中的一個Bug,導致使用者密碼以純文字顯示,Facebook及該公司在保護使用者資料方面的能力無疑再次受到質疑。
那麼,存在Bug的這個工具到底是什麼呢?
早在今年4月下旬,在歐洲GDPR法律生效(2018年5月25日)之前,Instagram就釋出了工具,讓使用者可以下載他們的資料副本。包括照片、視訊、評論、個人資料資訊、存檔故事、直接訊息、帖子和故事標題等等。
然而,這款資料下載工具的出現,並沒有幫助使用者避免“不得不繼續依賴第三方應用和服務來獲取他們的資料副本”的安全風險。
根據最近的一份報告表明:這個工具中的一個錯誤以明文形式暴露了Instagram使用者的密碼。
圖:Instagram的“下載你的資料”工具可讓你下載資料副本
使用者使用此工具下載其資料副本,其密碼將以純文字形式顯示在Web瀏覽器的URL中。出於某種原因,密碼同時會儲存到Facebook伺服器。
如果人們使用共享計算機並且沒有清除瀏覽歷史記錄,可能會產生嚴重影響,因為這可能允許任何有權訪問計算機的人檢視這些密碼。
在此漏洞曝光後不久,Instagram修復了該工具,刪除了密碼,並通知了受影響的使用者。
在今天的時代,越來越多的人上網,越來越多的人使用社交媒體,選擇用純文字形式儲存使用者密碼的行為無疑是不明智的。
2011年12月,程式設計師網站CSDN遭到黑客攻擊,大量使用者資料庫被公佈在網際網路上。從專業IT技術網站到使用者量巨大的各類網路平臺,都被曝出存留使用者明文密碼,引起網民極大恐慌和質疑。
MobiGyaan的新聞和特寫編輯Sagar Bakre發文提出疑惑:“我們不明白為什麼公司不使用單向雜湊(one-way hash)技術來儲存密碼。畢竟,一旦資訊被轉換為單向雜湊,就不能反轉它來匯出原始資訊。”
單向雜湊技術:一種將訊息或文字轉換為固定數字字串的演算法,通常用於安全或資料管理。 “單向”意味著從字串中匯出原始文字幾乎是不可能的。單向雜湊函式用於建立數字簽名,它反過來識別和驗證數字分散式資訊的發件人和郵件。
Sagar Bakre還建議終端使用者,除了使用唯一的強密碼以外,還應該在Instagram上啟用雙因素身份驗證。
參考來源:
- End -