Facebook安全政策和实践不合适,说Infosec ProS
Facebook未能隐藏员工数亿用户的密码促使新的呼吁审查公司的安全政策和编码实践。
在某些情况下,多达20,000名Facebook员工可以获得多达20,000名Facebook员工的纯文本中的密码,在某些情况下,安全研究员Brian Krebs报道了多达七年。
他说,Facebook源告诉他关于“安全失败”,允许开发人员创建记录和存储密码而不加密它们的应用程序。
在一份声明中,Facebook表示它已经修复了导致密码在其内部网络上以纯文本在其内部网络上的“故障”。社交媒体公司还声称,到目前为止,持续的调查没有迹象表明员工滥用此数据的滥用。
Facebook表示,该问题是在1月份发现的日常安全审查,大多数受影响的人都是Facebook Lite的用户设计用于低连接条件,但该公司将通知所有受影响的人,包括标准的Facebook和Instagram用户,包括标准的Facebook和Instagram用户。
虽然Facebook表示,只有在对该问题的调查发现滥用登录凭据的情况下,才能执行密码重置,但安全行业代表已经建立了Facebook用户借机更新密码和策略以要求双重身份验证。
这是由于其流程中的缺陷导致Facebook的第二次将用户的数据放在风险中。2018年9月,该公司报告了一个“安全问题”,与“视图为”特征有关的代码,暴露“近5000万账户”以攻击者占用。
为了尝试赢得用户的信任,Facebook首席执行官和联合创始人Mark Zuckerberg最近宣布计划使Facebook更多隐私专注,在公司的声誉被剑桥分析数据共享丑闻时摇动。
这一最新启示揭示了Facebook的安全政策和编码实践的聚光灯,提示呼吁社会媒体公司采取行动。
“这是安全编码实践如何导致要创建安全漏洞并且未捕获的速度较少的较差的示例。当应用程序与Facebook的用户数量有时时,这个问题可以变得非常大,非常迅速,“Matthew Gardiner,Cod Security公司Mimecast的Matthew Gardiner表示。
“鉴于在纯文本中传输或存储的密码没有合法的技术或商业原因,并且给出Facebook拥有一组非常强大的密码安全实践,唯一的理由是这个问题是通过不安全创建的编码实践过去一些时间,“他说。
Gardiner表示,避免这种情况的最佳做法是雇用Secdevops实践(将开发,运营和安全团队一起拉到应用程序开发的组成部分。
“在事实之后捕获脆弱性,但在恶意使用发生之前,很好,但在发展时这样做得更好,”加德纳说。
虽然事件的细节仍然是营养,但安全公司Sophos的高级安全顾问John Shier,这可能是一种意外的编程错误,导致了纯文本凭据的日志记录。
“所说,这一点永远不会发生,并且Facebook需要确保没有因此错误而受到损害的用户凭证或数据,”他添加。
SAM CURRY,安全公司CIBEREATERON的首席安全官员表示,FACEBOOK需要根据其尺寸和其持有的数据更新其安全策略。
“包括Facebook在内的每个人都有技术债务和保安债务,占用 - 但这不是一个借口。Facebook开始看起来像关键的社交基础设施,那么[它]责任就是公众。
每个人,包括Facebook,都有科技债务和安全债务堆积 - 但这并不是借口约翰·怪物,索菲斯“过去的时间回去,把骷髅从壁橱里清洗。如果他们不能做基础,我们如何相信这个平台才能获得更大,并在引擎盖下获得更多联系,如果他们不能进行封锁并解决右键?Facebook需要21世纪的安全战略,而不是20世纪。“
安全公司高科技桥首席执行官Ilia Kolochenko表示,无证的“功能”在大型科技公司中非常普遍。“经常,没有恶意意图或疏忽,而是一个内部的”黑客“,更好地解决一些问题或进行测试。
“问题是,这种阴影数据及其用法几乎无法控制,甚至现在得出结论是最新的Facebook问题是完全修复的,因为员工制作的许多备份包括许多备份,包括许多备份,可能仍存在于不同和未知的情况下地点。
“即使使用外部审计,这些问题也非常耗时。因此,在处理大型技术公司时,可以做好准备,了解他们了解您的一切以及内部可以不同地处理这些数据,从他们的政策或服务条款说。“
除了突出显示差的编码实践外,该问题还呼吁呼叫改进的密码实践,直到替代认证方法广泛可用。
“这也是另一个提醒人们,他们仍然重用密码或使用弱密码将他们的Facebook密码更改为强大而独特的东西,并打开双因素身份验证,”Sophos的John Shier说。
Emmanuel Schalit,密码管理和数字身份公司Dashlane的CEO,也建议Facebook用户更新他们的密码,即使Facebook声称这些密码的内部曝光意味着它们没有受到损害。
“事实仍然是他们没有加密和暴露多年。因为影响仍然是未知的,我们建议立即在Facebook上更改密码。“
SCHALIT的在线服务的用户无法控制持有这么大数据的数字服务的安全架构,但他们可以采取措施确保最佳密码卫生。
“这是”遏制“教义的数字版本。一个示例是使用密码管理器,密码更改器能够生成和更改密码,确保正确和常规的网络卫生。
“如这里所示,你永远不知道你的帐户可能已经暴露,你的信息易受攻击 - 常规和适当的密码卫生不仅仅是为了违规行为,”他说。
安全公司Secureauth的首席安全架构师斯蒂芬柯克斯表示,继续依赖密码不可持续,并失败消费者。
数十年的经验向我们展示了密码是斯蒂芬柯克斯,Secureauth的古老验证方法“几十年的经验表明,密码是一种古老的认证方法,通常不是在用户的控制下,并且完全不足以满足今天的威胁景观,”他说。
“在存储密码时使用良好的卫生组织不仅是许多组织,由于以前的漏洞,这些密码的大部分密码已经广泛可用。现实是人们在多个网站中重用密码和密码泄漏可能会产生深远的后果。
“随着密码泄漏的趋势和凭据上涨的凭据滥用,组织必须进化并采用现代安全性的现代方法,这是一个提高安全姿势的一个,但是要注意让用户体验简单。
“我们需要超越密码,基本的双因素认证方法,以实现使用实时元数据和威胁检测技术来改善最终用户信任的现代自适应风险的方法。目标应该将被盗的凭证呈现给攻击者。“
智能网络安全意识平台Cybsafe的首席执行官Oz Alashe表示,它是哈希和盐密码在数据库中的常见做法。“这使得犯罪分子很难破解整个密码数据库,”他说。
“哈希掩盖了具有不同价值的原始密码,并施加仍然是甚至相同的密码遍布不同的密码。Facebook未能在这里执行这些基本活动的事实几乎肯定是偶然的,而不是故意的。
“尽管疏忽了,但似乎不太可能在此处应用GDPR [普通数据保护规范]。从历史上看,ICO由于密码管理贫困而受到遭遇违规的企业受到惩罚。但是,在这种情况下没有迹象发生了违规行为。“
在这种情况下,爱尔兰数据保护委员会是有关的数据保护机构,因为Facebook的欧洲总部位于都柏林。“Facebook已经联系并通知了我们这个问题。我们目前正在寻求进一步的信息,“委员会发言人在一份声明中表示。