Facebook為雅虎賬戶開發(fā)額外安全保護
責編:admin |2014-11-03 16:23:05雅虎于2013年6月決定重新啟用那些12個月以上未被使用的雅虎帳號。這個做法激起了公眾的強烈質(zhì)疑,人們擔心此舉會造成安全隱患和隱私泄露問題。因為如果這些“復活”的雅虎郵箱賬戶曾綁定了第三方網(wǎng)站,郵箱新主人只需重置密碼即可登錄這些第三方網(wǎng)站,這樣一來第三方網(wǎng)站上的用戶信息(原郵箱主人)就很容易被心懷不軌者盜取。
在那些使用雅虎郵箱綁定的第三方網(wǎng)站中,F(xiàn)acebook第一個站出來表示:像雅虎這種做法我們需要做出額外的安保措施。
Facebook的防護方案
針對這次事件,F(xiàn)acebook工程師與雅虎合作開發(fā)了一個SMTP擴展,并命名為RRVS(Require-Recipient-Valid-Since)。當Facebook最新一次確認過發(fā)來郵件的雅虎郵箱是誰在使用時,它會在郵件的頂部插入相應的時間戳作為標記(用于辨識雅虎郵箱的當前主人的身份)。
Facebook軟件工程師Murray Kucherawy表示:
“如果在我們確認該郵箱賬戶已被易手,那么發(fā)給該郵箱的消息會直接丟掉,以防止私密信息傳到錯誤的人手中。”
Facebook表示:他們最關心的是,如何保護那些雅虎郵箱賬戶綁定的第三方帳號的安全。使用了RRVS擴展后,就可以阻止系統(tǒng)把郵箱原主人的敏感訊息(如重置密碼的確認郵件)發(fā)給郵箱新主人。
根據(jù)草案中描述的技術方案,F(xiàn)reeBuf做了如下整理:
接收郵件的系統(tǒng)可以對此次發(fā)郵件的時間點進行校驗。每次收到郵件時,F(xiàn)acebook設計的SMTP擴展會仔細確認發(fā)件人身份,如果是原主人才會在郵件頭打上相應的時間戳。因此,如果接收系統(tǒng)檢驗到發(fā)郵件的時間晚于最新的時間戳,那就說明當前郵箱主人有可能不是原主人。一旦出現(xiàn)這種情況,接收系統(tǒng)就會阻止此次郵件的發(fā)送,并告知此次郵件的發(fā)送方。
業(yè)界良心
這不是Facebook第一次出手保護自己的用戶信息。五月份,F(xiàn)acebook向郵件商發(fā)出請求,要求他們啟用對STARTTLS(某純文本通信協(xié)議的擴展)的支持。到了八月份,F(xiàn)acebook對95%的外傳郵件使用PFS(Perfect Forward Secrecy)進行了加密。
就在上周,由于數(shù)據(jù)泄露事件,F(xiàn)acebook發(fā)布了一款新的工具,它可以在如Pastebin、Github以及那些黑客論壇上自動篩選出Facebook失竊賬戶的憑據(jù)。如果Facebook能由此找回用戶賬號憑證的話,它會在第一時間內(nèi)告知原用戶。
緊接著是另一條新聞,F(xiàn)acebook會在年底為在其廣告代碼中發(fā)現(xiàn)漏洞的人支付雙倍獎金。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術與應用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡與信息法治建設回顧