6億用戶明文密碼，曾被內部查詢900 萬次

據CNBC報道，網絡安全記者布萊恩-克雷布斯（Brian Krebs）周四的一份調研報告稱，Facebook在未加密的情況下存儲了多達6億個用戶賬戶密碼，并以明文形式存儲，公司數萬名員工可以訪問。

Facebook方面已經在一篇博文中承認了6億用戶密碼被明文存儲的事情。

Facebook內部人士表示，根據訪問日志顯示，大約2000 名工程師或開發人員對包含純文本用戶密碼的數據元素進行了大約 900 萬次內部查詢。

在Facebook的27億用戶中，6億用戶已經占了相當大的比例。該公司周四表示，計劃開始通知受到影響的用戶，以便他們更改密碼。

Facebook在周四的聲明中表示：

Facebook：未發現任何濫用數據行為，不會帶來實際風險

據報道，這一事件最早可以追溯到2012年。該公司可能還需要對這些密碼是否被濫用進行大量調查。

Facebook負責工程、安全和隱私的副總裁佩德羅·迦南瓦蒂在一份回應中寫道：

Facebook軟件工程師斯科特·倫弗羅甚至表示：

盡管Facebook表示，到目前為止沒有任何證據表明存在內部濫用或不正當地訪問密碼的行為，但該公司將很難保證有內部訪問權限的人離開公司后是否會濫用密碼。

為什么1月發現的安全漏洞，直到3月才被公布？

Facebook安全負責人表示因為他們發現這些明文的密碼并非是存儲在一個地方，因此很可能是多種問題疊加導致的一個漏洞，問題的分散性使得問題的理解和解決變得更加復雜。Facebook不得不花了2個多月的時間來調查和解決這一問題。

按照《通用數據保護條例》規定，Facebook的最新事件無疑將觸發審查，因為該條例要求相關公司在72小時內向受隱私泄露影響的人發布通知，并要求公司安全存儲密碼。對于如何準確定義“適當的安全級別”，這項法律有點含混不清，但歐盟委員會可能會認為，存儲在內部并可供大量員工使用的純文本密碼可能并不符合標準。

頻犯低級錯誤，扎克伯格被打臉

在任何一家互聯網或移動互聯網公司里，只要問起一位程序員應該如何存儲密碼時，都會得到必須要加密或者進行哈希算法處理后再存放的答案，這是互聯網數據安全管理的常識。但這種常識性的安全漏洞，卻發生在了Facebook這家在全球擁有數十億用戶的社交巨頭身上。

今年3月初Facebook創始人兼CEO扎克伯格還在發表長篇大論表示公司要走私密社交的戰略方向，如今爆料出來的消息，顯然對小扎來說是一次結結實實的打臉。

曾有媒體報道說扎克伯格想要打通Facebook、Instagram和WhatsApp的底層通信機制，此舉可以讓三個平臺的用戶互相發消息，這倒是大膽的設想，如此一來三個APP就會成為一個超級APP，但從Facebook目前在互聯網安全保障機制工作來看，扎克伯格的設想似乎要經歷更多的技術考驗，才能真正的實現。

巧合的是，本周四正好是Facebook被曝出劍橋分析泄露用戶隱私事件整整一周年的日子，看來一年過去了，Facebook的用戶隱私安全保護機制依舊未見長進，必須采取行之有效的手段加以健全。

 

本文整理自站長之家等多家媒體報道，如涉及侵權，請及時與我們聯系，我們會在第一時間刪除或處理侵權內容。電話：400-869-9193  負責人：張明

 

及時掌握網絡安全態勢，盡在傻蛋聯網設備搜索系統????，更多安全資訊請關注：

微信公眾號【安數網絡】；新浪微博【@傻蛋搜索】

及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統

【網絡安全監管部門】免費試用

本文來源:網絡

如涉及侵權，請及時與我們聯系，我們會在第一時間刪除或處理侵權內容。
電話：400-869-9193 負責人：張明