IEEE電氣與電子工程師協(xié)會是一個相當權威的國際性標準組織協(xié)會,擁有超過125年的歷史,就成員人數而言是世界上最大的專業(yè)技術組織之一,擁有將近二百個多家的四五十萬成員,而且旗下制定了大量行業(yè)標注,最知名的當屬Wi-Fi 802.11系列無線技術,但就是這樣一個權威機構,也犯下了明文存儲用戶名和密碼、并被外界挖掘出來的低級錯誤。
電腦科學家、哥本哈根大學助教Radu Dragusin今天聲稱,他發(fā)現IEEE的一個FTP服務器上有大約10萬個用戶名和密碼以純文本的形式存儲著,而且嚴重的是任何人都可以輕松獲取這些信息。因為IEEE的成員都不是普通人,這其中有大量來自蘋果、Google、IBM、美國航空航天局(NASA)、Oracle、三星、斯坦福大學,以及其他大型組織和公司的高級工程師的個人資料,問題也就更加嚴重。
Dragusin上周就發(fā)現了這個問題,并立即通知IEEE,希望對方能“至少部分”解決。
據稱,這些數據在IEEE FTP服務器上公開了最少已經一個月了,用戶在ieee.org site、spectrum.ieee.org兩個網站上相關所有活動也都隨著日志的保存不嚴格而被同時曝光。
Dragusin指出:“在這些日志中,每一次網絡請求都被記錄下來,總數達3.76多億。網絡服務器日志本來是永遠都不該公開的,因為其中通常含有能被用來鑒別用戶的信息……如果說讓包含100GB日志數據的FTP目錄公開可能只是訪問權限設置錯誤的簡單失誤,那么讓用戶名和密碼以純文本的形式保存要麻煩得多。”
IEEE方面尚未做出任何公開回應。