投資和股票交易應(yīng)用程序Robinhood該公司今天透露，在內(nèi)部系統(tǒng)上以明文形式存儲(chǔ)了一些用戶憑證，包括密碼。這種特別危險(xiǎn)的安全失誤可能會(huì)嚴(yán)重暴露其用戶，但它表示沒有證據(jù)表明數(shù)據(jù)訪問不當(dāng)?，F(xiàn)在更好地更改密碼。

密碼和個(gè)人信息等敏感數(shù)據(jù)通常始終保持加密狀態(tài)。這樣，如果最糟糕的情況發(fā)生，公司的數(shù)據(jù)庫暴露出來，攻擊者所得到的就是一堆亂碼。不幸的是，似乎該規(guī)則可能有一些例外。

許多用戶，包括CNET的Justin Cauchon，在一封電子郵件中收到了Robinhood的以下通知：

當(dāng)您為Robinhood帳戶設(shè)置密碼時(shí)，我們會(huì)使用行業(yè)標(biāo)準(zhǔn)流程來阻止我們公司的任何人閱讀它。星期一晚上，我們發(fā)現(xiàn)一些用戶憑據(jù)以可讀格式存儲(chǔ)在我們的內(nèi)部系統(tǒng)中。我們想通知您，您的密碼可能已包含在內(nèi)。

我們解決了這個(gè)問題，經(jīng)過徹底審核后，沒有發(fā)現(xiàn)任何證據(jù)表明我們的響應(yīng)團(tuán)隊(duì)以外的任何人都訪問過這些信息。

似乎如果它真的是“行業(yè)標(biāo)準(zhǔn)”，那么該行業(yè)的其他人也會(huì)以明文存儲(chǔ)密碼。來想一想，這可以解釋很多，因?yàn)楣雀?，F(xiàn)acebook，Twitter和其他人最近都設(shè)法犯了同樣的錯(cuò)誤。

Robinhood的一位代表強(qiáng)調(diào)了公司對(duì)這個(gè)問題的回應(yīng)速度，盡管他們不會(huì)評(píng)論它是如何被首次發(fā)現(xiàn)的，也不會(huì)評(píng)論數(shù)據(jù)存儲(chǔ)的時(shí)間長短，也不會(huì)偏離這些行業(yè)規(guī)范導(dǎo)致問題，也不會(huì)有多少用戶受到影響，以及這些問題的答案是否會(huì)出現(xiàn)。他們確實(shí)提供了以下聲明：

我們迅速解決了此信息記錄問題。經(jīng)過徹底審查后，我們未發(fā)現(xiàn)任何證據(jù)表明我們的響應(yīng)團(tuán)隊(duì)以外的任何人都訪問了此客戶信息。出于謹(jǐn)慎的考慮，我們已通知可能受到影響的客戶，并鼓勵(lì)他們重置密碼。我們認(rèn)真對(duì)待客戶，并非常注重確保信息安全。

如果你收到了一封電子郵件，那你就是不幸的一些，所以更改密碼。如果您沒有收到電子郵件...也更改您的密碼。你永遠(yuǎn)不能太小心。