今年9月底，Facebook的“Vew As”（戳蓝字即可阅读）功能中存在一个漏洞，使得攻击者窃取了50万个账户的访问权限，从而接管用户帐户。现在，Facebook旗下Instagram，由于工具中的一个Bug，导致用户密码以纯文本显示，Facebook及该公司在保护用户数据方面的能力无疑再次受到质疑。

那么，存在Bug的这个工具到底是什么呢？

早在今年4月下旬，在欧洲GDPR法律生效（2018年5月25日）之前，Instagram就发布了工具，让用户可以下载他们的数据副本。包括照片、视频、评论、个人资料信息、存档故事、直接消息、帖子和故事标题等等。

然而，这款数据下载工具的出现，并没有帮助用户避免“不得不继续依赖第三方应用和服务来获取他们的数据副本”的安全风险。

根据最近的一份报告表明：这个工具中的一个错误以明文形式暴露了Instagram用户的密码。

图：Instagram的“下载你的数据”工具可让你下载数据副本

用户使用此工具下载其数据副本，其密码将以纯文本形式显示在Web浏览器的URL中。出于某种原因，密码同时会存储到Facebook服务器。

如果人们使用共享计算机并且没有清除浏览历史记录，可能会产生严重影响，因为这可能允许任何有权访问计算机的人查看这些密码。

在此漏洞曝光后不久，Instagram修复了该工具，删除了密码，并通知了受影响的用户。

在今天的时代，越来越多的人上网，越来越多的人使用社交媒体，选择用纯文本形式保存用户密码的行为无疑是不明智的。

2011年12月，程序员网站CSDN遭到黑客攻击，大量用户数据库被公布在互联网上。从专业IT技术网站到用户量巨大的各类网络平台，都被曝出存留用户明文密码，引起网民极大恐慌和质疑。

MobiGyaan的新闻和特写编辑Sagar Bakre发文提出疑惑：“我们不明白为什么公司不使用单向散列（one-way hash）技术来存储密码。毕竟，一旦信息被转换为单向散列，就不能反转它来导出原始信息。”

单向散列技术：一种将消息或文本转换为固定数字字符串的算法，通常用于安全或数据管理。 “单向”意味着从字符串中导出原始文本几乎是不可能的。单向散列函数用于创建数字签名，它反过来识别和验证数字分布式信息的发件人和邮件。

Sagar Bakre还建议终端用户，除了使用唯一的强密码以外，还应该在Instagram上启用双因素身份验证。

参考来源：

• mobigyaan

往期热门资讯：                                        

公众号ID：ikanxue
官方微博：看雪安全

商务合作：wsc@kanxue.com