图片来自pixabay

撰文 | 冯水寒

责编 | 叶水送

●  ●  ●

2018年3月，Facebook和剑桥分析（Cambridge Analytica）数据泄露丑闻席卷了全球的社交媒体。近日，Facebook又因数据安全问题（明文存储密码）而遭到曝光。

► KrebsOnSecurity称Facebook明文储存 6亿用户的账户密码，图片来自KrebsOnSecurity

3月19日，知名安全网站KrebsOnSecurity发文称，Facebook在未加密的情况下以纯文本形式存储了约6亿用户的账户密码，且超过2万名Facebook员工可以访问检索这些纯文本密码。

► Facebook发文辩解，图片来自Facebook

对此，Facebook发文辩解称，当前正在进行的调查并未发现雇员滥用这些数据的迹象。Facebook正常的密码程序是将它们编码存储。Facebook将会把该情况通知Facebook、Facebook Lite以及Instagram的用户。

Facebook软件工程师Scott Renfro表示：

“到目前为止，我们还没有发现有任何人故意查找密码的情况，也没有发现数据滥用的迹象。这些密码是无意中记录的且没有导致实际性风险。我们也希望保留这些步骤，并且只在存在滥用迹象的情况下才强制更改密码。”

► 纽约时报报道此次事件，图片来自NYT

3月21日，纽约时报（The New York Times）关注了此次事件，并进行评论，Facebook将密码以可读纯文本形式存储违反了基本的计算机安全惯例。

Recorded Future安全公司网络安全专家Andrei Barysevich表示：

“在一个组织里，特别是像Facebook这样大规模的公司，没有任何正当理由要求任何人能够以纯文本形式存储和访问用户密码。”

安全研究员Rob Graham表示：

“Facebook工程师显然添加了破坏安全措施的代码。这正如他们在门上安装了正确的锁，但有人却把窗户打开了。”

令人讽刺的是，Facebook首席执行官马克·扎克伯格（Mark Zuckerberg）近期提出“以隐私为中心的社交网络愿景”，强调私人沟通而非公共共享，希望鼓励一小群人进行加密对话，Facebook和任何其他局外人都无法阅读。然而，Facebook这次的阴沟里翻船，将会引发了人们对其管理更复杂的加密问题能力的质疑。

参考资料

https://krebsonsecurity.com/2019/03/facebook-stored-hundreds-of-millions-of-user-passwords-in-plain-text-for-years

https://www.nytimes.com/aponline/2019/03/21/technology/ap-us-tec-facebook-passwords.html