事件背景
安全内参9月29日消息,爱尔兰监管机构对Meta公司(Facebook母公司)处以1.01亿美元(约合人民币7.08亿元)的罚款,原因是Meta以明文形式存储了数亿用户密码,并允许公司内部员工广泛访问这些密码。Meta早在2019年初就披露了这一疏漏。公司表示,旗下多个社交网络应用程序在记录用户密码时,使用了明文存储的方式,并将这些密码存储在了一个数据库中。该数据库被大约2000名公司工程师查询过,查询次数累计超过900万次。
事件反思
这次事件,又一次展现了那句真理---"世界是巨大的草台班子"。回到现实,我们能做好什么呢?最简单的当然是对敏感字段进行hash加密,避免meta的这个情况,毕竟国内很多行业对加密的审查都很严格,处理不好可能就要去喝喝茶了。
但是所有的敏感字段都适合hash加密吗?其实不然。不考虑算法底层实现的差异,各类算法的最大的区别,可能就是是否可逆,显然hash是属于不可逆的一直加密算法,但是现实中我们的敏感字段可能有些是需要进行还原,比如手机号,身份证,甚至是姓名等等。所以对敏感字段进行加密的时候,一定要考虑是否有还原的需求,从而选用不同的加密算法。
但是这样又有一个新的问题产生,如何让我的密文支持模糊查询呢?从这个角度进行考虑可能普通的加密是不支持的,那就可以考虑进行分段的加密,根据最低支持的模糊查询的长度,对明文进行分段加密然后重新拼接。
总结
meta的事件其实给我们也敲响了警钟,业务开发本质就是对数据进行各类操作,而如何保证数据安全自然是重中之重的事,甚至可以说是企业的生命线。所以我们设计之初一定要考虑敏感字段的加密方案。
