遭到資安研究人員揭發後,臉書 21日承認多年來違反基本的電腦安全措施,把數以百萬計用戶的密碼用普通文字儲存在其內部伺服器,使臉書員工能清楚看到這些密碼;不過,臉書強調,外人沒有公司內部伺服器的訪問權限,因此沒有沒有跡象顯示有人濫用或不當接觸這些資料。
率先公開這種缺失的安全研究員克瑞柏斯(Brian Krebs)說,檔案顯示有些用普通文字儲存密碼的做法2012年就已存在。
他在網路安全部落格KrebsOnSecurity一篇文章表示,臉書大約六億個用戶密碼有外洩風險。
臉書內部人士向柯博茲說,大約有2000名工程師或研發人員對用戶密碼進行近900萬次的內部查詢;臉書軟體工程師瑞恩福(Scott Renfro)表示,臉書尚未計畫公開可取得用戶密碼的員工數量,但將提醒受影響的用戶,不過,用戶無需重設密碼。
臉書表示,今年1月進行例行的安全審查時發現問題;「到目前為止並未發現任何員工故意搜索用戶密碼,也沒有濫用數據的現象」。瑞恩福說,用戶密碼都是被無意記錄的,並不存在任何風險。
臉書一直堅持它以負責態度,嚴密保守全球22億用戶的私人資料,但此事件又暴露臉書的基本安全作業另一個嚴重疏失。
臉書宣稱它已解決問題,並將通知受影響的幾億個臉書輕量版(Facebook Lite)用戶、幾千萬個一般臉書用戶,以及幾萬個Instagram用戶。
臉書輕量版2015年推出,2012年購併Instagram。
臉書上周才大肆宣揚致力於維護隱私的新版本,為群組交流加密,讓臉書和其他外人都無法窺探;但是,臉書連把密碼加密這種最簡單的安全措施都做不到,令人懷疑它對管理更複雜的訊息加密等問題的能力。
