Facebook 又攤上事了，數億用戶被波及！

繼轟動全球的數據泄露醜聞後，Facebook又身陷安全疑雲。近日據外媒報道，數億Facebook用戶的密碼一直用明文儲存，數千名Facebook員工都可查詢到！某些情況下，密碼甚至可以追溯到2012年......慶幸的是，目前的調查顯示還沒有員工濫用這些數據。

作者 |Brian Krebs

譯者 |彎月

責編 | 郭芮

出品 | CSDN（ID：CSDNnews）

以下為譯文：

Facebook又因為安全問題引起熱議了！

近日有消息爆出，Facebook應用程序未對用戶的密碼數據做加密處理，並以純文本的形式直接存儲在公司內部的伺服器上。——據悉，該消息最初來源於一名熟悉內情且不願透露姓名的高級Facebook員工。

Facebook的消息人士表示，迄今為止的調查顯示，有2億-6億Facebook用戶密碼一直以純文本的形式存儲，且超過2萬名Facebook員工都可搜索。消息人士稱Facebook仍在徹查究竟有多少密碼被暴露，以及暴露的時間，但到目前為止的調查還發現用明文保存用戶密碼的問題可以追溯到2012年。

Facebook內部人士表示，訪問日誌顯示，大約有2千名工程師和開發人員對包含純文本用戶密碼的數據進行了大約900萬次內部查詢。消息人士稱，「隨著深入分析的時間增加，Facebook的法律人士決定只統計最低的數字，如今他們打算通過僅計算目前數據倉庫中的數據來縮小這個數字。」

在接受KrebsOnSecurity採訪時，Facebook軟體工程師Scott Renfro表示，該公司尚不能給出具體的數字——例如究竟有多少Facebook員工可以訪問數據。

Renfro表示，該公司計劃通知受影響的Facebook用戶，但用戶不需要重置密碼。他說：「到目前為止，我們還沒有發現任何有人蓄意查找密碼的情況，也沒有發現濫用這些數據的跡象「。「在這種情況下，我們發現這些密碼是無意中記錄的，但不會引發實際的風險。我們希望確認清楚這些步驟，而且只會在存在濫用跡象的情況下才強制用戶更改密碼。」

Facebook向KrebsOnSecurity提交的書面聲明稱，預計該公司會通知數億的Facebook Lite用戶、數千萬其他Facebook用戶以及數萬名Instagram用戶。其中，Facebook Lite是專為連接速度較低和低規格手機設計的Facebook版本。

最近幾個月，Github和Twitter都曾經被迫承認有類似的問題，但對於這兩家，只有公司內部少數人才能使用純文本用戶的密碼，而且使用時間也較短。

Renfro表示，這個問題於2019年1月首次曝光，當時安全工程師審查了一些新密碼，並無意中發現密碼以明文形式保存。Renfro說：「他們因此成了一個小型工作組，確保對可能發生問題的地方進行了廣泛的審查。我們有一系列控制措施來緩解這些問題，為了防止這種情況發生，我們正在調查長期依賴基礎設施的變化。目前我們正在審查一些查詢日誌，我們需要確認是否存在對該數據的濫用或其他人對該數據的訪問。」

Facebook的密碼問題給該社交網路帶來了一段艱難的歷程。前不久，紐約時報稱，聯邦檢察官正在對Facebook與一些全球最大的科技公司達成的數據交易進行刑事調查。

原文：https://krebsonsecurity.com/2019/03/facebook-stored-hundreds-of-millions-of-user-passwords-in-plain-text-for-years/

本文為 CSDN 翻譯，如需轉載，請註明來源出處。

熱 文推 薦

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！