本週三晚,Facebook承認,數億Facebook用戶的賬戶密碼被存儲在純文本中,無任何加密處理,可供數千名Facebook員工隨意搜索。更令人震驚的是,據外媒網絡安全記者稱,這種情況自2012年起就存在了,Facebook 多年來一直存儲這些密碼而不進行安全保護。
Facebook內部人士稱,調查顯示,目前約有2億600萬Facebook用戶的賬戶密碼可能是被明文存儲的,超過2萬名Facebook員工可以搜索到這些密碼。該內部人士說,Facebook仍在試圖確認有多少密碼被洩露且洩漏了多久。目前為止,Facebook調查小組已經發現了2012年的純文本用戶密碼檔案。Facebook內部的訪問日誌顯示,大約2000名工程師和開發人員對包含純文本用戶密碼的數據進行了約900萬次的內部查詢。
該消息人士還稱,Facebook在致力於通過只計算他們目前的數據庫裡的數據(而不計算之前被洩露的數據)來減少被洩露密碼的用戶數量。
Facebook的軟件工程師Scott Renfro在接受外媒KrebsOnSecurity採訪時說,公司還沒準備好向外界透露具體的數字,比如說可以訪問這些數據的Facebook員工人數。目前Facebook計劃提醒受影響的用戶,但用戶不需要重置密碼。
“到目前為止,我們在調查中還沒有發現有人故意尋找這些密碼,也沒有發現濫用這些數據的跡象,”Renfro說,“我們發現這些密碼是不經意記錄下來的,沒有實際的風險。我們想保留這些密碼,只有在有明顯濫用跡象發生的情況下才會強制更改密碼。”
Renfro說,這個問題是在2019年1月份被發現的,當時公司的安全工程師審查一些新密碼時發現密碼被無意中以明文形式登錄。
Facebook的密碼問題出現在Facebook正焦頭爛額的一個月裡。
上週,《紐約時報》報道美國聯邦檢察官正對Facebook與一些世界知名的科技公司達成的數據交易進行刑事調查。今年3月初,Facebook還因為電話號碼的安全問題而受到網絡安全方面專家的抨擊。
Facebook爆出這麼多安全問題,令人震驚的同時,也令人深思:
我們的密碼在網上,又真的是安全的嗎?
閱讀更多 晨科技 的文章
