Facebook 承认以明文方式存储数亿用户账号密码

Facebook 周四在 博客 中证实，过去多年，该公司一直以明文形式存储“数亿个”帐号的密码。此前，信息安全记者布莱恩·克莱布斯（Brian Krebs）发表了 相关报道 。

Facebook 的佩德罗·卡纳瓦蒂（Pedro Canahuati）表示，1 月份，Facebook 在例行安全检查中发现了这个问题。不过他表示，Facebook 以外的任何人都看不到这些密码。克莱布此前报道称，大约 2000 名工程师和开发者可以获得这些记录，而 Facebook 在几个月后承认了这个安全漏洞。

克莱布斯表示，这个漏洞可以回溯到 2012 年。

卡纳瓦蒂说：“这引起了我们的关注，因为我们的登录系统被设计成通过技术来屏蔽密码，使密码不可读取。到目前为止，我们没有发现任何证据表明，内部有人滥用或通过不正当方式访问这些密码。”不过他没有说明，Facebook 是如何得出这个结论的。

Facebook 表示，将向“数亿 Facebook Lite 用户”和“数千万其他 Facebook 用户”发出通知。Facebook Lite 是 Facebook 为网速慢、宽带价格高的用户提供的轻量级版本。该公司还表示，也将向“数万 Instagram 用户”告知这个情况。

克莱布斯报道称，多达 6 亿用户可能受影响。这大约是 Facebook 27 亿用户的 1/5，但 Facebook 尚未证实这个数字。

Facebook 也没有说明，这个漏洞是如何产生的。以明文方式存储密码非常不安全。对 Facebook 这样的公司来说，可以很容易地采取哈希等加密方法。通过这类技术，公司可以在不知道具体密码的情况下验证用户密码。

Twitter 和 GitHub 去年也曾发生类似问题。两家公司当时都表示，用户密码被以明文方式保存。

Facebook 近期发生了一系列令人尴尬的问题，引发了 国会 和 政府 的调查。Facebook 在一些合作中允许其他科技公司在未经用户允许的情况下获得用户的帐号数据，上周 有报道称 ，这起事件正在接受刑事调查。

目前尚不清楚，Facebook 为何花了几个月时间才确认这起事件，也不知道该公司是否根据美国的数据泄露通知或欧洲的数据保护法，通知了各国和国际监管部门。Facebook 发言人尚未对此消息置评。

负责监督 Facebook 欧洲业务的爱尔兰数据保护办公室表示，Facebook“向我们通报了这个问题”，监管机构“正在寻求更多信息”。

翻译：维金

Facebook admits it stored ‘hundreds of millions’ of account passwords in plaintext