【极速3分彩】为何连谷歌也无法杜绝这种“蠢事”?

  • 时间:
  • 浏览:0

1.一些小网站或许数据库会明文存储密码,而知名互联网公司绝无是意味,但后者的业务系统颇为错综复杂,关联功能是意味意外隐藏着明文存储漏洞,一些例行安全检测都额外注意这点。

2.尽管大公司多数明文存储漏洞没办法 造成影响,但与否漏网之鱼,被外界捕捉。

3.明文存储密码漏洞的主要由灯下黑、设计考虑不周、历史遗留、过于自信这5个因素造成的。

日前,谷歌公开承认其产品G Suite居于低级安全漏洞。

G Suite管理控制台允许管理员为用户重置密码,然而该功能竟然以纯文本的形式明文存储用户的密码而非加密存储,如今该功能已被移除。

资料显示,G Suite 是由GmailGoogle文档、 Google云端硬盘等应用组合而成的一5个多多办公套装,全球共有 50 万个机构订阅了该服务,包括 50% 的世界 50 强公司。

“真是哪些地方地方密码没办法 经过哈希加密储存,但它们仍保留 Google 经过安全加密的基础设施中。”Google 工程部副总裁 Suzanne Frey安抚用户:“此大问题已得到解决,亲戚亲戚让我们歌词 没办法 明确证据表明哪些地方地方密码遭到了不当访问或滥用。” 

然而,明文存储密码这些低级安全漏洞,在谷歌体系内居于了14年未被发现,为什么在么在么检测没哟来?除了谷歌,历史上诸多知名互联网公司都被明文存储密码漏洞困扰过,为什么在么在么此类漏洞屡禁不绝?

关联功能是意味居于漏洞

低级安全漏洞有一些,网站参数过滤不严意味的跨站漏洞、设计不够意味的任意密码重置漏洞与任意支付漏洞、弱口令漏洞、明文存储密码漏洞等。

这其中弱口令漏洞与明文存储密码漏洞被公认为最“愚蠢”的漏洞。

密码还后能 明文存储,这是最基本的安全常识,经验宽裕的系统守护进程员都明白还后能 给黑客任何可趁之机,后者会带来隐私泄露的可怕后果。

一些,网站存储用户密码都还后能 进行加密,譬如张三注册账号时设定密码为567122cdefe”,后台直接看还后能 这些密码,一些一串字符。

倘若用的是MD5加密妙招,没办法 看过的是意味是a9541a219863e8aa16位)或ad2517b1a9541a219863e8aaff3593ec36位),这5个多多字符串还还后能 进行二次加密,以增强密码的保护带宽。

安全妙招了,哪怕黑客入侵了网站数据库,一些会轻易破解密文从而得到真实的密码,一些明文存储历来为系统守护进程设计大忌。

有业内人士告诉记者,一些小网站或许数据库会明文存储密码,而知名互联网公司绝无是意味,但后者的业务系统颇为错综复杂,关联功能是意味意外隐藏着明文存储漏洞,一些例行安全检测都额外注意这点。

譬如微软收购的GitHub,一些在2018年例行安全检测中发现一5个多多明文存储漏洞:用户重置密码时安全内控 日志记录也同步明文保存了一份。

 

隐私泄露触目惊心

尽管大公司多数明文存储漏洞没办法 造成影响,但与否漏网之鱼,被外界捕捉。

大名鼎鼎的Facebook内控 登录系统曾将6亿用户的密码以明文存储保存,可被Facebook的内控 员工搜索、访问。

该漏洞最早还后能 追溯到2012年,到2019年一共被内控 员工访问超过了 900万次,不过Facebook软件工程师Scott Renfro对外表示亲戚亲戚让我们歌词 在调查中没办法 发现滥用哪些地方地方数据的迹象。

然而Facebook公开要求所有用户更改密码则暴露其对泄密事件信心不够。

多方人士指点记者,暗网中流传多份数据文件,与否涉及Facebook的用户隐私数据,201810月与否黑客以2.50美元的单价销售Facebook账号的登录信息,涉及500万用户。

而安全监控公司 4iQ最近表示,暗网出显一份高达 41 GB的数据文件,内含14 亿份以明文形式存储的账号和密码,涉及FacebookLinkedInMySpaceTwitter等多家知名互联网公司。

泄露的数据来看,123456123456789qwertypassword等密码用得较多。

国内不少互联网公司也在明文存储密码上栽过跟头,最著名的当属2011年的“泄密门”。

201112月,CSDN网站备份数据库遭黑客攻击,500万用户的登录名、密码数据被窃取,事先天涯、世纪佳缘、走秀等多家网站的用户数据库也在网上被曝光。

有黑客向记者回忆:“当时第一眼看过从网上下载的天涯、CSDN等原始数据库文件,青春恋爱物语是明文密码,青春恋爱物语蹭红毯了,为什么在么在么会没办法 草率。

上亿网站用户的密码曝光后,黑客发动了后续的撞库攻击,获得了更多所有人 隐私,甚至包括支付敏感数据,影响极其恶劣。

所谓撞库攻击,一些利用用户一5个多多密码走天下的习惯,通过不断尝试登录、企图掌控用户的删剪网络痕迹与隐私数据。

“泄密门”风波事先,也突然有知名网站、APP被证实居于明文存储密码,譬如乌云网曾披露银联手机支付APPunionpay.db数据库中明文存储了账号和密码。

四大因素诱发漏洞

明文存储密码漏洞主要由灯下黑、设计考虑不周、历史遗留、过于自信这5个因素造成。

灯下黑

多名安全人士告诉记者,安全测试时是意味手尾没办法 解决干净,也是意味留下安全漏洞,出显灯下黑的情况报告。

譬如GitHub的明文存储密码漏洞出在安全内控 日志上,该漏洞是我不好是某次安全测试时开启了明文日志,而最终忘记去掉 该日志所意味的。

一些完成安全测试后,应关闭调试模式并删除正式环境还后能 的功能或代码。

设计考虑不周

倘若系统守护进程在设计时考虑不周,无意中也会制造漏洞。

譬如Twitter使用一5个多多名为bcrypt的函数对密码进行掩码解决,但在密码被bcrypt函数解决事先以明文形式储存的,这就为直接获取到用户密码留下了“窗口”。

历史遗留

罗马与否一天建成的,知名互联网公司也与否一天长大的,在成长过程中难免遗留各种大问题,漏洞一些例外。

时任 CSDN 产品总监范凯曾总结经验教训:“CSDN网站早期使用明文是是意味和一5个多多第三方chat系统守护进程整合验证带来的,刚刚的系统守护进程员始终未对此进行解决,突然到5094月当时的系统守护进程员修改了密码保存妙招,改成了加密密码。

2010年来CSDN上班事先发现CSDN账号的安全性仍居于潜在的大问题:真是密码保存是意味修改为加密密码,但老的保存过的明文密码未清理;帐号数据库运行在Windows Server上的SQL Server,仍有被攻击和挂马的潜在危险。”

一名匿名人士也告诉记者,他所在的公司人员流动性较大,早年的系统守护进程不太规范,又经太久方修改一度也出过类式的低级安全漏洞,好在后期重塑架构体系,此类大问题才得以解决。

历史遗留是颇为棘手的大问题,早解决比晚解决好。



过于自信

对公司的安全体系比较信任,而公司安全人员在例行安全检测时又没办法 做到任何细节不放过,意味一些漏洞时隔多年才被发现。

一名资深系统守护进程员向记者透露:“曾为某消费APP设计过活动页面,用户可在该活动页面优惠充值,上线事先请安删剪同事检测过,没办法 发现大问题。上线后也一切正常,直到白帽黑客发邮件通知,才知道页面居于1分钱充值任意金额漏洞。”

这四大因素,归根结底一些安全意识淡薄。

电影《蜘蛛侠》有一句经典台词“能力越大,责任越大”,大公司肩负无数用户的信任,须牢牢绷紧安全意识这根弦,不能保护用户的隐私不受侵犯。