Facebook安全政策和实践不合适,说Infosec ProS
Win10 1803 WASHY升级:永远不要让寻求者偶然
公司敦促保护矛网络钓鱼
秒的眼睛在加密货币上镇压
Mingis关于Tech:Windows 10的Spring更新的顶级变化
软件PowerList中的制造商妇女的获奖者宣布
专家组说,学徒必须改变成功取得成功
办公室365:企业用法不转化为企业价值
SAP将关闭SAP的SAP用于SMB的服务
伦敦科技巨头致力于2023年创造一百万个科技工作
Facebook对法庭对隐私的疑虑,而不是事实
MIDRANGE像素可能只是冰山一角
NHS数字首席信息安全官员辞职
Facebook表示,GDPR意味着'每个人的新隐私体验'
域运营商:您的个人信息可以在GDPR下保持秘密
哪些MAC将运行Apple的MacOS Mojave?
政府修改外包指南以平衡供应商的风险
英国警察目标数百名DDOS攻击者
2019年云和备份顶级存储优先级
新的BlockChain分类帐会让您出售个人医疗保健数据
Apple的iOS 12将拯救成千上万的美国生活
设德兰德获得宽带升级,以支持当地的NHS服务
Apple揭示了2018年的6个巨大的IOS改进
Facebook必须在奥地利,欧盟法院规则面临隐私诉讼
Microsoft提示在9月发布Windows 10的下一个功能升级
医疗保健提供者应按数字转型按下
Mingis关于Tech:区块链......碳信用额?
思科首席执行官刷掉了Brexit和其他危机
万豪数据泄露损失可能超过半十十亿美元
AWS现在认可在澳大利亚运行受保护的工作负载
中央圣马丁为伦敦时装周主持三个5克审判
DCMS选择委员会要求Facebook的Facebook'故意沮丧'假新闻询问
微软在与团队群聊更新的休闲休闲时发热
现在,每次Swift开发人员都可以建立AI应用程序,感谢Apple和I​​BM
MWC 2019:Vodafone用VMware提供5G
Facebook尽管隐私失败盈利
华为:我们没有在英国间谍活动
MAC现在占10%的活动个人计算机
随着公共云需求的延续Apace,AWS报告第四季度收入增长45%
APAC企业刚刚开始AI
微软:200m现在在企业中使用Windows 10
研究表明,不到一半的公司能够检测到物联网漏洞
Fido说,部署强验证的时间
银行仍然谨慎对基于区块链的电子支付网络
风险资本家驾驶北欧科技企业增长
微软涵盖Windows 7,具有高级威胁服务
区块链,聊天,和艾,可以重新发明企业融资
辅助生活系统从Microsoft Azure移动到IBM云
UC Berkeley在网上培训区块链;数千人注册
运输部门揭开云转型
您的位置:首页 >产品 > 人工智能 >

Facebook安全政策和实践不合适,说Infosec ProS

2021-08-24 14:43:59 [来源]:

Facebook未能隐藏员工数亿用户的密码促使新的呼吁审查公司的安全政策和编码实践。

在某些情况下,多达20,000名Facebook员工可以获得多达20,000名Facebook员工的纯文本中的密码,在某些情况下,安全研究员Brian Krebs报道了多达七年。

他说,Facebook源告诉他关于“安全失败”,允许开发人员创建记录和存储密码而不加密它们的应用程序。

在一份声明中,Facebook表示它已经修复了导致密码在其内部网络上以纯文本在其内部网络上的“故障”。社交媒体公司还声称,到目前为止,持续的调查没有迹象表明员工滥用此数据的滥用。

Facebook表示,该问题是在1月份发现的日常安全审查,大多数受影响的人都是Facebook Lite的用户设计用于低连接条件,但该公司将通知所有受影响的人,包括标准的Facebook和Instagram用户,包括标准的Facebook和Instagram用户。

虽然Facebook表示,只有在对该问题的调查发现滥用登录凭据的情况下,才能执行密码重置,但安全行业代表已经建立了Facebook用户借机更新密码和策略以要求双重身份验证。

这是由于其流程中的缺陷导致Facebook的第二次将用户的数据放在风险中。2018年9月,该公司报告了一个“安全问题”,与“视图为”特征有关的代码,暴露“近5000万账户”以攻击者占用。

为了尝试赢得用户的信任,Facebook首席执行官和联合创始人Mark Zuckerberg最近宣布计划使Facebook更多隐私专注,在公司的声誉被剑桥分析数据共享丑闻时摇动。

这一最新启示揭示了Facebook的安全政策和编码实践的聚光灯,提示呼吁社会媒体公司采取行动。

“这是安全编码实践如何导致要创建安全漏洞并且未捕获的速度较少的较差的示例。当应用程序与Facebook的用户数量有时时,这个问题可以变得非常大,非常迅速,“Matthew Gardiner,Cod Security公司Mimecast的Matthew Gardiner表示。

“鉴于在纯文本中传输或存储的密码没有合法的技术或商业原因,并且给出Facebook拥有一组非常强大的密码安全实践,唯一的理由是这个问题是通过不安全创建的编码实践过去一些时间,“他说。

Gardiner表示,避免这种情况的最佳做法是雇用Secdevops实践(将开发,运营和安全团队一起拉到应用程序开发的组成部分。

“在事实之后捕获脆弱性,但在恶意使用发生之前,很好,但在发展时这样做得更好,”加德纳说。

虽然事件的细节仍然是营养,但安全公司Sophos的高级安全顾问John Shier,这可能是一种意外的编程错误,导致了纯文本凭据的日志记录。

“所说,这一点永远不会发生,并且Facebook需要确保没有因此错误而受到损害的用户凭证或数据,”他添加。

SAM CURRY,安全公司CIBEREATERON的首席安全官员表示,FACEBOOK需要根据其尺寸和其持有的数据更新其安全策略。

“包括Facebook在内的每个人都有技术债务和保安债务,占用 - 但这不是一个借口。Facebook开始看起来像关键的社交基础设施,那么[它]责任就是公众。

每个人,包括Facebook,都有科技债务和安全债务堆积 - 但这并不是借口约翰·怪物,索菲斯

“过去的时间回去,把骷髅从壁橱里清洗。如果他们不能做基础,我们如何相信这个平台才能获得更大,并在引擎盖下获得更多联系,如果他们不能进行封锁并解决右键?Facebook需要21世纪的安全战略,而不是20世纪。“

安全公司高科技桥首席执行官Ilia Kolochenko表示,无证的“功能”在大型科技公司中非常普遍。“经常,没有恶意意图或疏忽,而是一个内部的”黑客“,更好地解决一些问题或进行测试。

“问题是,这种阴影数据及其用法几乎无法控制,甚至现在得出结论是最新的Facebook问题是完全修复的,因为员工制作的许多备份包括许多备份,包括许多备份,可能仍存在于不同和未知的情况下地点。

“即使使用外部审计,这些问题也非常耗时。因此,在处理大型技术公司时,可以做好准备,了解他们了解您的一切以及内部可以不同地处理这些数据,从他们的政策或服务条款说。“

除了突出显示差的编码实践外,该问题还呼吁呼叫改进的密码实践,直到替代认证方法广泛可用。

“这也是另一个提醒人们,他们仍然重用密码或使用弱密码将他们的Facebook密码更改为强大而独特的东西,并打开双因素身份验证,”Sophos的John Shier说。

Emmanuel Schalit,密码管理和数字身份公司Dashlane的CEO,也建议Facebook用户更新他们的密码,即使Facebook声称这些密码的内部曝光意味着它们没有受到损害。

“事实仍然是他们没有加密和暴露多年。因为影响仍然是未知的,我们建议立即在Facebook上更改密码。“

SCHALIT的在线服务的用户无法控制持有这么大数据的数字服务的安全架构,但他们可以采取措施确保最佳密码卫生。

“这是”遏制“教义的数字版本。一个示例是使用密码管理器,密码更改器能够生成和更改密码,确保正确和常规的网络卫生。

“如这里所示,你永远不知道你的帐户可能已经暴露,你的信息易受攻击 - 常规和适当的密码卫生不仅仅是为了违规行为,”他说。

安全公司Secureauth的首席安全架构师斯蒂芬柯克斯表示,继续依赖密码不可持续,并失败消费者。

数十年的经验向我们展示了密码是斯蒂芬柯克斯,Secureauth的古老验证方法

“几十年的经验表明,密码是一种古老的认证方法,通常不是在用户的控制下,并且完全不足以满足今天的威胁景观,”他说。

“在存储密码时使用良好的卫生组织不仅是许多组织,由于以前的漏洞,这些密码的大部分密码已经广泛可用。现实是人们在多个网站中重用密码和密码泄漏可能会产生深远的后果。

“随着密码泄漏的趋势和凭据上涨的凭据滥用,组织必须进化并采用现代安全性的现代方法,这是一个提高安全姿势的一个,但是要注意让用户体验简单。

“我们需要超越密码,基本的双因素认证方法,以实现使用实时元数据和威胁检测技术来改善最终用户信任的现代自适应风险的方法。目标应该将被盗的凭证呈现给攻击者。“

智能网络安全意识平台Cybsafe的首席执行官Oz Alashe表示,它是哈希和盐密码在数据库中的常见做法。“这使得犯罪分子很难破解整个密码数据库,”他说。

“哈希掩盖了具有不同价值的原始密码,并施加仍然是甚至相同的密码遍布不同的密码。Facebook未能在这里执行这些基本活动的事实几乎肯定是偶然的,而不是故意的。

“尽管疏忽了,但似乎不太可能在此处应用GDPR [普通数据保护规范]。从历史上看,ICO由于密码管理贫困而受到遭遇违规的企业受到惩罚。但是,在这种情况下没有迹象发生了违规行为。“

在这种情况下,爱尔兰数据保护委员会是有关的数据保护机构,因为Facebook的欧洲总部位于都柏林。“Facebook已经联系并通知了我们这个问题。我们目前正在寻求进一步的信息,“委员会发言人在一份声明中表示。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。