Facebook明文存储用户密码7年 波及6亿人

Facebook又被外媒曝出安全丑闻了。据称，在Facebook展开的内部调查中发现，有2亿到6亿笔Facebook用户密码竟然以明文方式存储，而有权限查看的Facebook员工则超过2万名。 虽然Facebook自称没有证据显示这些密码遭受恶意访问，但其风险显然不容小觑。

经Facebook证实，今年1月曾进行内部安全漏洞调查，过程中发现大批密码仅以明文方式存储到Facebook的数据存储系统上。原本应该通过哈希算法并加盐，甚至包括使用scrypt算法及加密密钥来隐藏用户密码的，却由于“一连串失当的行为”，让某些员工撰写的命令行，可记录用户未经加密处理的密码，并让这些数据以明文格式存储。

据爆料，有“数亿Facebook Lite用户、数千万Facebook用户及数万IG用户”将受到影响。Facebook声称该公司一发现上述情形便马上进行了紧急处理。Facebook则认为这批数据尚未外泄，而且迄今也没有证据显示内部有人滥用或不当访问，不过为以防万一Facebook仍将会通知所有受影响的用户。

初步调查显示，确有2000名左右的Facebook工程师或开发人员已经对包含这些密码的数据做过查询，且次数将近900万次。虽然还未确定曝光的密码总数及曝光时间，但现阶段得知曝光密码最早可追溯到2012年。

外媒引述Facebook工程师Scott Renfro回应指出，公司计划通知受影响的用户，但不需要重设密码。他表示，其APP是不小心记录到用户密码的，没有明确风险。

此外，还有研究人员指出，目前Facebook已强制用户绑定电话号码进行双因子验证（2FA），而该功能是无法关闭的，但这样用户的电话反而会被存储到企业端，让有心人查询到。

【此事可能再让Facebook信息安全问题浮上台面。历经去年的多次大规模数据外泄，已重创了Facebook形象，Facebook首席执行官扎克伯格今年曾宣称，未来Facebook将构建以隐私、加密及数据安全为核心的通讯平台。但其随后计划整合Facebook Messenger、WhatsApp、IG为共享式通讯平台的策略，则引发人们对于用户隐私的疑虑。】