Facebook明文密码事件始末 Facebook为什么明文储存用户密码

[海峡网]

据网络安全记者布莱恩-克雷布斯（Brian Krebs）周四的一份报告称，Facebook储存了数亿”个账户密码，没有加密，而且可以以纯文本的形式显示给数万名公司员工。这起事件可能影响多达6亿用户，占Facebook 27亿用户基础的很大一部分。

Facebook在一篇博文中证实了这一报道。Facebook周四在一份声明中表示，作为一月份例行安全检查的一部分，我们发现一些用户密码以可读格式存储在我们的内部数据存储系统中。这引起了我们的注意，因为我们的登录系统被设计成使用使密码不可读的技术来屏蔽密码。我们已经修复了这些问题，作为预防措施，我们将通知所有被我们发现密码以这种方式存储的人。”

据报道，这些事件最早可以追溯到2012年。Krebs援引Facebook软件工程师Scott Renfro的话说，该公司没有发现任何滥用数据的行为，这不会带来任何实际风险。”

然而，由于数年来的隐私和安全丑闻，Facebook一直受到密切关注。这些丑闻招致了客户的批评，以及多家监管机构的调查和罚款，尤其是在欧盟。

涉及数百万用户！Facebook被曝员工可以明文查看密码

【涉及数百万用户！ Facebook被曝员工可以明文查看密码】根据网络安全记者布莱恩·克雷布斯（Brian Krebs）周四的报道，Facebook存储了多达6亿个没有加密的用户账户密码，并且可以以纯文本的形式显示给数万名公司员工。

Facebook明文存储6亿用户密码，被员工查看900万次

3月22日消息，据CNBC报道，本周四，Facebook被曝明文存储多达 6 亿账户密码，并被数千名Facebook员工访问 900 多万次。对此，Facebook申明称已经解决了这些问题，并表示到目前为止还没有任何迹象表明员工们滥用了这些数据。

Facebook在声明中表示：作为 1 月份例行安全审查的一部分，我们发现，有些用户密码在我们的内部数据存储系统中以可读的格式存储。这引起了我们的注意，因为我们的登录系统利用使密码不可读的技术来屏蔽密码。我们已经解决了这些问题，但为了以防万一，我们将通知所有收到影响的用户。”

前不久，美国检察官就Facebook与两家公司签订信息分享协议，允许其广泛获取用户个人信息”展开刑事调查。陪审团要求两家企业交出与Facebook的相关协议，以调查其数据共享行为是否侵害用户知情权。

来源：站长之家

抖音热门短视频数据分析的工具你知道那些?

去年春天在Android P即将上线之前，曾有消息称，谷歌将会推出一款Android的聊天服务，以取代目前的传统短信功能，并称其希望借助这一系统挑战苹果iMessage，以及Facebook WhatsApp的地位。而在一年之后，这项被称为RCS Chat的服务有了新进展，目前英国与法国的Android用户将能够选择使用谷歌提供的RCS聊天服务，而不是等待运营商的支持。

一年之后，谷歌的RCS Chat终于来了

RCS（Rich Comunication Suite）也就是富媒体通信协议，是全球移动通信系统协会（GSM）在2008年选中用于代替目前已经服役超过20年的SMS（短信息）服务。因此可以将RCS看作是SMS短信的升级版，其在手机通讯录的基础上，增添了更多的多媒体功能，而在Android结合VoLTE业务后，用户之间除了能够发送基本的文本信息和彩信之外，还可以发送清晰度更高的照片、GIF图片、共享位置、发送文件、创建群聊信息乃至视频通话。

根据谷歌方面的说法，RCS Chat将通过Android内置的原生消息应用提供，当用户打开Android消息APP时，会看到一个升级到RCS Chat的提示。但相较之下，苹果的iMessage则是默认使用的。

为什么RCS如此出色，并得到了谷歌的大力支持，推进速度却如此迟缓？因为在Android、通信运营商、手机厂商的三角关系之中，最核心的运营商对于RCS并不热心。当然并不是说相比于目前的SMS短信来说，RCS的提升并不显著，而是谷歌设计的这一套体系，已经冒犯了通信运营商的利益。

不同于苹果iMessage采用的是Apple Identity Service”来判断对方的身份，来决定是使用常规SMS还是苹果专属的iMessage，其本质上是以苹果为核心。而谷歌力推的RCS Chat则是一个联邦模型”，除了谷歌与一众手机厂商之外，还有全球数十家通信运营商。

但问题就出在这里，通信运营商之间也同样是有竞争的，其各自的利益诉求并不相同。要知道结构越复杂出故障的几率越高，如果可能的话，谷歌当然想选择在每个国家仅挑选一个合作伙伴，但为了覆盖更多的用户以及降低垄断的可能性，这显然也是不可能的。

好在收购了通信服务商Jibe Mobile之后，谷歌也有自己的Google Fi。并且作为Android阵营的盟主，谷歌现在也已经强制要求所有Android机型必须通过RCS标准认证，现阶段三星与华为两大目前全球智能手机市场的巨头已经与其达成了合作，将共同打造无缝运行的Android版iMessage”。

但RCS可能并不是十分可靠

而谷歌是如何撇开通信运营商的呢？根据其项目主管Drew Rowny的介绍显示，当用户使用RCS Chat时，系统将会向聊天对象发送一条不可见”的消息，来查询对方手机是否支持这一功能，如果得到YES”的回复，就会自动进入RSC Chat界面。

目前，在大规模推广RCS前也依然有相当多的桎梏等待解决，其中最为关键的问题，就是数据的保存与加密。目前主流的IM软件以及苹果iMessage都支持在应用层完成的端到端的加密，这种方式的安全性极高，并且因为在这一过程中报文从源端到目的端一直保持密文状态，即数据在发送端被加密，在接收端解密，中间节点不会以明文的形式出现，因此任何通信链路的错误也不会影响整体数据的安全性。

然而谷歌RCS Chat虽然拥有包括IPsec、HTTPS在内一整套的安全协议机制，但其却并没有端到端的加密功能。而没有这一功能的影响，简而言之就是一句话，现在短信服务出现的问题RCS全都有，比如说通过伪基站完成的GSM劫持+短信嗅探”，现在是劫持验证码等文字内容，未来就可能是从图片到视频都可以全方位的篡改。

除了安全性风险之外，数据保存也是RCS Chat要面临的重要考验。如果运营商直接提供RCS服务，谷歌就将让该运营商处理用户的信息，而如果没有，则谷歌将暂时保存有关设备的元数据，如IMSI、电话号码、RCS客户端供应商和版本，并在有限时间内提供服务的时间戳等敏感的元数据。

对于这些问题，谷歌显然是心知肚明的，其项目总监Sanaz Ahari表示，我们全力以赴的为用户找到一个解决方案”，这其中的潜台词就是不管有没有效果，反正我们在努力了。事实上，在RCS技术规范上实现端到端加密并非不可能，谷歌也只需要促使GMS协会同意将端到端加密添加到UniversalProfile（通用配置文件）”上即可。

但谷歌显然没有等到GMS协会的同意，就开始推广自家的RCS Chat了。对于已经20岁并且已经成为全球科技巨头的谷歌来说，在推出新产品的时候，正常策略不应该是力求万全吗？究竟是什么导致了谷歌在RCS上有点不顾一切呢？

对抗OTT应用或是终极目标

其实我们可以从苹果iMessage上找到这个答案，尽管iMessage上的垃圾广告信息异常泛滥，甚至有打开iMessage得到整个澳门”的段子出现，但是其依然对于iMessage不离不弃。这些看起来吃力不讨好的举措，当然不是苹果与谷歌昏了头，而是从本质上来说，这是二者在社交领域钉下的一颗钉子，用于对抗微信、Facebook、WhatsApp等OTT（Over The Top）应用。

众所周知，微信、支付宝、百度、Facebook都推出了自家的小程序，并且随着平台补贴以及政策福利，导致这些超级APP成为了Android与iOS生态内的国中之国”，形成了横跨多个平台的小生态。并且由于Android和iOS规则所限，谷歌和苹果只能眼睁睁的看着看着这些企业一点点的鸠占鹊巢”。

iMessage和RCS Chat就是苹果和谷歌的反制措施，并且相比于微信与Facebook的优势，是RCS与iMessage对于B端更加友好。在目前的环境下，商业机构想要更好的服务客户，需要用到公众号、微博、小程序、短信等等服务，而在RCS上谷歌则引入了MaaP（Messaging as a Platform）机制，通过丰富的插件接口与聊天机器人，可以实现构建消息即服务，消息即应用，消息即连接的消息即平台。这样用户无需下载APP或关注订阅号，即可在RCS界面内完成搜索、交互、购物、支付等一站式体验。并且对于中小型企业来说，RCS也降低了其开发成本，无需额外开发单独的APP，直接使用RCS也能达到同样的效果。

但至于说谷歌RCS Chat最终的结局，最坏的情况就是在Orkut、Blogger、Google Buzz、Google Wave、Google talk、Google+、Google Allo这一长串被谷歌关闭的社交应用名单，再一次更新而已。当然，最好的情况是其能够将全球数十亿用户从运营商主导的短信业务中，转移到自己的手上。