Instagram使用者密碼以明文形式洩露，Facebook再遭質疑

今年9月底，Facebook的“Vew As”（戳藍字即可閱讀）功能中存在一個漏洞，使得攻擊者竊取了50萬個賬戶的訪問許可權，從而接管使用者帳戶。現在，Facebook旗下Instagram，由於工具中的一個Bug，導致使用者密碼以純文字顯示，Facebook及該公司在保護使用者資料方面的能力無疑再次受到質疑。

那麼，存在Bug的這個工具到底是什麼呢？

早在今年4月下旬，在歐洲GDPR法律生效（2018年5月25日）之前，Instagram就釋出了工具，讓使用者可以下載他們的資料副本。包括照片、視訊、評論、個人資料資訊、存檔故事、直接訊息、帖子和故事標題等等。

然而，這款資料下載工具的出現，並沒有幫助使用者避免“不得不繼續依賴第三方應用和服務來獲取他們的資料副本”的安全風險。

根據最近的一份報告表明：這個工具中的一個錯誤以明文形式暴露了Instagram使用者的密碼。

圖：Instagram的“下載你的資料”工具可讓你下載資料副本

使用者使用此工具下載其資料副本，其密碼將以純文字形式顯示在Web瀏覽器的URL中。出於某種原因，密碼同時會儲存到Facebook伺服器。

如果人們使用共享計算機並且沒有清除瀏覽歷史記錄，可能會產生嚴重影響，因為這可能允許任何有權訪問計算機的人檢視這些密碼。

在此漏洞曝光後不久，Instagram修復了該工具，刪除了密碼，並通知了受影響的使用者。

在今天的時代，越來越多的人上網，越來越多的人使用社交媒體，選擇用純文字形式儲存使用者密碼的行為無疑是不明智的。

2011年12月，程式設計師網站CSDN遭到黑客攻擊，大量使用者資料庫被公佈在網際網路上。從專業IT技術網站到使用者量巨大的各類網路平臺，都被曝出存留使用者明文密碼，引起網民極大恐慌和質疑。

MobiGyaan的新聞和特寫編輯Sagar Bakre發文提出疑惑：“我們不明白為什麼公司不使用單向雜湊（one-way hash）技術來儲存密碼。畢竟，一旦資訊被轉換為單向雜湊，就不能反轉它來匯出原始資訊。”

單向雜湊技術：一種將訊息或文字轉換為固定數字字串的演算法，通常用於安全或資料管理。 “單向”意味著從字串中匯出原始文字幾乎是不可能的。單向雜湊函式用於建立數字簽名，它反過來識別和驗證數字分散式資訊的發件人和郵件。

Sagar Bakre還建議終端使用者，除了使用唯一的強密碼以外，還應該在Instagram上啟用雙因素身份驗證。

參考來源：

• mobigyaan
  

- End -