Facebook安全政策和实践不合适,说Infosec ProS 苹果销售大约10个iphone一秒钟,主要是iphone x 伦敦议会试验弱势公民的基于验证的数字ID方案 Surveymonkey将Dublin DataceRe地区开设到欧洲法院数据安全意识企业 Mingis关于Tech:Windows 10的Spring更新的顶级变化 软件PowerList中的制造商妇女的获奖者宣布 全球情报机构首次分享英国阶段 Android 2018底漆:10比特讲解分析对仔细考虑 伦敦技术和创新办事处准备发布 微软意外地开始推动Win10版本1803通过Windows Update 秒的眼睛在加密货币上镇压 ANZ CIO在数字议程中击中了障碍 确保暂时禁用Windows Update,特别是在Win7上 Equifax捍卫着小卒中参议院报告 公司敦促保护矛网络钓鱼 办公室365:企业用法不转化为企业价值 移动应用程序:你使用,你输了,警告竞选团体 NHS软件交易2018年在新的IT合同上支出公共部门 Mingis关于Tech:我们喜欢什么,关于WWDC的'Meh'是什么 网络转30:从建议到疏通 2018年技术故事中技术和多样性的十大女性 移动应用程序管理由非托管设备驱动 Siemens PLC中的漏洞安全警报 Broadcom提出了Qualcomm的优惠(1200亿美元) 6您可能不知道Chrome OS升级的重要事项 SAP将关闭SAP的SAP用于SMB的服务 运输部门改造警察道路交通事故报告系统 伦敦科技巨头致力于2023年创造一百万个科技工作 您不会相信为什么Win7每月汇总,KB 4093118一直保持安装 专家组说,学徒必须改变成功取得成功 MIDRANGE像素可能只是冰山一角 六十一到10个矛网络钓鱼电子邮件 联想提供企业访问前提数据中心套件,就像云的薪酬按钮 获取2月份的Microsoft Patches,除非您使用的Win10秋季创建者更新 仍然弄清楚数字转型的企业已经丢失了 Google详细信息它将如何推翻Chrome中的加密信号 Google Touts 21 Android手机它建议商业用途 NHS数字首席信息安全官员辞职 IT优先事项2019:云迁移成为IT决策者的最高投资区域 2018年夏季iPhone刷新炒作综合 谷歌在收件箱的未来重量 Vodafone和IBM Prep用户云为未来的网络技术 父母要求未来的工作需要软技能 政府眼睛是他们自己的区块链加呼货币 微软提高了铬,IE和边缘杀手的防护钓鱼技能 域运营商:您的个人信息可以在GDPR下保持秘密 Facebook表示,GDPR意味着'每个人的新隐私体验' Facebook对法庭对隐私的疑虑,而不是事实 2018年度的十大IT安全故事 企业未能有效地应用加密技术
您的位置:首页 >开发 >

Facebook安全政策和实践不合适,说Infosec ProS

Facebook未能隐藏员工数亿用户的密码促使新的呼吁审查公司的安全政策和编码实践。

在某些情况下,多达20,000名Facebook员工可以获得多达20,000名Facebook员工的纯文本中的密码,在某些情况下,安全研究员Brian Krebs报道了多达七年。

他说,Facebook源告诉他关于“安全失败”,允许开发人员创建记录和存储密码而不加密它们的应用程序。

在一份声明中,Facebook表示它已经修复了导致密码在其内部网络上以纯文本在其内部网络上的“故障”。社交媒体公司还声称,到目前为止,持续的调查没有迹象表明员工滥用此数据的滥用。

Facebook表示,该问题是在1月份发现的日常安全审查,大多数受影响的人都是Facebook Lite的用户设计用于低连接条件,但该公司将通知所有受影响的人,包括标准的Facebook和Instagram用户,包括标准的Facebook和Instagram用户。

虽然Facebook表示,只有在对该问题的调查发现滥用登录凭据的情况下,才能执行密码重置,但安全行业代表已经建立了Facebook用户借机更新密码和策略以要求双重身份验证。

这是由于其流程中的缺陷导致Facebook的第二次将用户的数据放在风险中。2018年9月,该公司报告了一个“安全问题”,与“视图为”特征有关的代码,暴露“近5000万账户”以攻击者占用。

为了尝试赢得用户的信任,Facebook首席执行官和联合创始人Mark Zuckerberg最近宣布计划使Facebook更多隐私专注,在公司的声誉被剑桥分析数据共享丑闻时摇动。

这一最新启示揭示了Facebook的安全政策和编码实践的聚光灯,提示呼吁社会媒体公司采取行动。

“这是安全编码实践如何导致要创建安全漏洞并且未捕获的速度较少的较差的示例。当应用程序与Facebook的用户数量有时时,这个问题可以变得非常大,非常迅速,“Matthew Gardiner,Cod Security公司Mimecast的Matthew Gardiner表示。

“鉴于在纯文本中传输或存储的密码没有合法的技术或商业原因,并且给出Facebook拥有一组非常强大的密码安全实践,唯一的理由是这个问题是通过不安全创建的编码实践过去一些时间,“他说。

Gardiner表示,避免这种情况的最佳做法是雇用Secdevops实践(将开发,运营和安全团队一起拉到应用程序开发的组成部分。

“在事实之后捕获脆弱性,但在恶意使用发生之前,很好,但在发展时这样做得更好,”加德纳说。

虽然事件的细节仍然是营养,但安全公司Sophos的高级安全顾问John Shier,这可能是一种意外的编程错误,导致了纯文本凭据的日志记录。

“所说,这一点永远不会发生,并且Facebook需要确保没有因此错误而受到损害的用户凭证或数据,”他添加。

SAM CURRY,安全公司CIBEREATERON的首席安全官员表示,FACEBOOK需要根据其尺寸和其持有的数据更新其安全策略。

“包括Facebook在内的每个人都有技术债务和保安债务,占用 - 但这不是一个借口。Facebook开始看起来像关键的社交基础设施,那么[它]责任就是公众。

每个人,包括Facebook,都有科技债务和安全债务堆积 - 但这并不是借口约翰·怪物,索菲斯

“过去的时间回去,把骷髅从壁橱里清洗。如果他们不能做基础,我们如何相信这个平台才能获得更大,并在引擎盖下获得更多联系,如果他们不能进行封锁并解决右键?Facebook需要21世纪的安全战略,而不是20世纪。“

安全公司高科技桥首席执行官Ilia Kolochenko表示,无证的“功能”在大型科技公司中非常普遍。“经常,没有恶意意图或疏忽,而是一个内部的”黑客“,更好地解决一些问题或进行测试。

“问题是,这种阴影数据及其用法几乎无法控制,甚至现在得出结论是最新的Facebook问题是完全修复的,因为员工制作的许多备份包括许多备份,包括许多备份,可能仍存在于不同和未知的情况下地点。

“即使使用外部审计,这些问题也非常耗时。因此,在处理大型技术公司时,可以做好准备,了解他们了解您的一切以及内部可以不同地处理这些数据,从他们的政策或服务条款说。“

除了突出显示差的编码实践外,该问题还呼吁呼叫改进的密码实践,直到替代认证方法广泛可用。

“这也是另一个提醒人们,他们仍然重用密码或使用弱密码将他们的Facebook密码更改为强大而独特的东西,并打开双因素身份验证,”Sophos的John Shier说。

Emmanuel Schalit,密码管理和数字身份公司Dashlane的CEO,也建议Facebook用户更新他们的密码,即使Facebook声称这些密码的内部曝光意味着它们没有受到损害。

“事实仍然是他们没有加密和暴露多年。因为影响仍然是未知的,我们建议立即在Facebook上更改密码。“

SCHALIT的在线服务的用户无法控制持有这么大数据的数字服务的安全架构,但他们可以采取措施确保最佳密码卫生。

“这是”遏制“教义的数字版本。一个示例是使用密码管理器,密码更改器能够生成和更改密码,确保正确和常规的网络卫生。

“如这里所示,你永远不知道你的帐户可能已经暴露,你的信息易受攻击 - 常规和适当的密码卫生不仅仅是为了违规行为,”他说。

安全公司Secureauth的首席安全架构师斯蒂芬柯克斯表示,继续依赖密码不可持续,并失败消费者。

数十年的经验向我们展示了密码是斯蒂芬柯克斯,Secureauth的古老验证方法

“几十年的经验表明,密码是一种古老的认证方法,通常不是在用户的控制下,并且完全不足以满足今天的威胁景观,”他说。

“在存储密码时使用良好的卫生组织不仅是许多组织,由于以前的漏洞,这些密码的大部分密码已经广泛可用。现实是人们在多个网站中重用密码和密码泄漏可能会产生深远的后果。

“随着密码泄漏的趋势和凭据上涨的凭据滥用,组织必须进化并采用现代安全性的现代方法,这是一个提高安全姿势的一个,但是要注意让用户体验简单。

“我们需要超越密码,基本的双因素认证方法,以实现使用实时元数据和威胁检测技术来改善最终用户信任的现代自适应风险的方法。目标应该将被盗的凭证呈现给攻击者。“

智能网络安全意识平台Cybsafe的首席执行官Oz Alashe表示,它是哈希和盐密码在数据库中的常见做法。“这使得犯罪分子很难破解整个密码数据库,”他说。

“哈希掩盖了具有不同价值的原始密码,并施加仍然是甚至相同的密码遍布不同的密码。Facebook未能在这里执行这些基本活动的事实几乎肯定是偶然的,而不是故意的。

“尽管疏忽了,但似乎不太可能在此处应用GDPR [普通数据保护规范]。从历史上看,ICO由于密码管理贫困而受到遭遇违规的企业受到惩罚。但是,在这种情况下没有迹象发生了违规行为。“

在这种情况下,爱尔兰数据保护委员会是有关的数据保护机构,因为Facebook的欧洲总部位于都柏林。“Facebook已经联系并通知了我们这个问题。我们目前正在寻求进一步的信息,“委员会发言人在一份声明中表示。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。