Facebook 又出事了，明文存儲了 6 億用戶的密碼

一種非常低級的做法。

本周四，網絡安全博客 Krebs On Security 撰文稱，Facebook 在未加密的情況下存儲了多達 6 億個用戶賬戶的密碼，並以明文形式存儲，公司員工可以隨時訪問。Facebook 隨後發表官方博客承認了這一做法。

Krebs On Security 引用要求匿名的 Facebook 員工的話說，從 2012 年至今，有將近 2-6 億 Facebook 用戶的賬戶密碼可能是以純文本形式存儲的，並且可被 2 萬多名 Facebook 員工搜索。

這名員工還表示，Facebook 仍在試圖確定有多少密碼被泄露，以及持續了多長時間。到目前為止，調查已經發現了部分檔案，其中包含 2012 年的純文本用戶密碼。

消息人士稱，Facebook 訪問日誌顯示，大約 2000 名 Facebook 工程師和開發人員對包含純文本用戶密碼的內容進行了大約 900 萬次內部查詢。“我們對數據進行分析的時間越長，Facebook 法律部人士的底線就越低。而且他們正在試圖僅計算我們目前數據庫裏的記錄，以使這個數字看起來小一點。”

Facebook 第二天發文承認了明文記錄用戶密碼做法。“在 1 月的例行安全審查中，我們發現一些用戶密碼以可讀格式存儲在我們的內部數據存儲系統中，”Facebook 撰文稱，“這引起了我們的注意，因為我們的登錄系統本應通過技術來屏蔽密碼，使其不可讀。我們已經修復了這些問題。為了提早預防，我們將通知相關用戶。“

但在 Facebook 的博客文章中，該公司沒有說明有多少用戶受到影響。根據消息人士提供的數據，6 億用戶占到了 Facebook 全球 27 億用戶的 22%。

Krebs On Security 消息人士的說法與 Facebook 官方博客的說法存在矛盾之處，比如 Facebook 的說法是今年 1 月之前並不知情，但消息人士稱 Facebook 內部有數千員工多年來對它進行了 900 萬次查詢，兩種說法不可能都是真相。

Facebook 軟體工程師斯科特·倫弗羅(Scott Renfro)在接受 Krebs On Security 採訪時表示，該公司還沒有準備好談論具體的數字，亦不方便透露訪問這些數據的員工人數。Facebook 計劃提醒受影響的用戶，但他們不需要重新設置密碼。

“到目前為止，我們還沒發現有任何人故意搜尋密碼，也沒有發現數據被濫用的跡象。在這種情況下，我們認為這些密碼是無意中被記錄下來的，並不存在由此帶來的實際風險。”倫弗羅說。

一直以來，Facebook 依賴廣告的商業模式決定了它必須通過搜集用戶數據來盈利，而這種商業模式也使得該公司經常在隱私問題上受到批評和罰款，比如導致它陷入長期輿論漩渦的“劍橋分析事件”。

相比 Facebook 之前的醜聞，明文記載用戶密碼雖然聽起來令人不適，但其實是一種非常低級的做法。Facebook 能夠用這麽多密碼來做什麽並不清楚。

但這種錯誤還是會讓 Facebook 在對隱私問題敏感的歐洲惹上麻煩。歐盟《通用數據保護條例》規定，相關公司應該在 72 小時內向受隱私泄露影響的人發布通知，並要求公司安全存儲密碼。對於如何準確定義“適當的安全級別”，這項法律並沒有給出明確定義，但歐盟委員會很可能認為，存儲在內部並可供大量員工搜索的純文本密碼並不符合標準。

如果這一事件真的可以追溯到 2012 年，那麽 Facebook 可能還需要對這些密碼進行濫用情況調查。盡管該公司博文否認了數據濫用的可能，但它很難確定有內部訪問權限的人離開公司後是否存在濫用密碼行為。

本月，Facebook 剛剛宣布了有史以來最大的一次業務轉型。馬克·祖克伯（Mark Zuckerberg）撰文稱，未來的社交媒體“將以私密通訊和小群體聊天為中心”，並強調 Facebook 將加密用戶聊天、賦予用戶定時刪除聊天記錄的能力等等，顯示該公司對隱私問題的重視。

祖克伯寫到：“我理解，許多人並不認為 Facebook 有能力甚至有意願建立這樣一個基於隱私的平台，因為坦率地講，我們目前在建立隱私保護服務方面的名聲並不好，而且我們過去專注於更開放的共享工具。但是我們已經一再證明，我們能夠不斷發展，打造出人們真正想要的服務，包括私人即時通訊和新聞。”

資料來源:SOURCE