CNBC不经意地露出人民的密码后,跑了具有讽刺意味的目的就是为了促进安全密码实践的文章周二。
这个故事是从CNBC网站后不久,它跑下,从安全专家批评乱舞删除。副主板发布了链接到归档版本。
这个故事中的嵌入是一个工具,使人们可以输入自己的密码。然后,该工具将计算密码,并估计将需要多长时间才能破解它。
报告中称该工具是为“娱乐和教育目的”,不会存储密码。
这竟然不准确,以及有其他问题。
阿德里安娜波特毛毡,软件工程师,谷歌的Chrome安全团队,斑该文章未交付使用SSL / TLS(安全套接字层/传输层安全)加密。
SSL / TLS加密用户和网站之间的连接,争先恐后被来回传送的数据。如果没有SSL / TLS,一个人在同一个网络可以看到清晰的文字数据,在这种情况下,任何密码发送到CNBC。
“担心安全问题?输入您的密码到这个@CNBC网站(通过HTTP,natch)。什么可能出问题,”费尔特写在Twitter上。“或者,随意@我鸣叫您的密码,并拥有了整个社区的安全检查给你。”
该表格还派出密码广告网络和其他各方与CNBC的页面上跟踪器,根据阿什科恩·索塔尼,隐私和安全研究员,谁发布了截图。
所收到的密码副本的公司包括谷歌的DoubleClick广告服务和记分卡研究,在线营销公司,是comScore的一部分。
虽然说该工具将不存储密码,流量分析表明,它实际上是将它们存储在一个谷歌文档电子表格,根据凯恩纽约,谁的作品在让我们加密项目。
“‘提交’按钮载入您的密码到@googledocs电子表格!”约克写。
在接受采访时通过电子邮件,纽约表示,他已经写了一些宏谷歌Docs和认可域“script.google.com。”
他看着一个密码,使用谷歌的Chrome浏览器的开发者工具提交后发生了什么事。他看到这一点:{结果: “成功”,行:1285}。
“具体而言,‘行’我每点击一次按钮增加了一个,”约克说。“我敢肯定,他们将行到电子表格中。
幸运的是,电子表格被标记为私有的,所以它不会一直向公众开放。
花心CNBC和故事的作者并没有立即成功。