6亿Facebook用户密码以明文存储可被员工读取,现已修复
剑桥分析事件发生一年之际,Facebook又双叒叕被曝出数据丑闻——据统计,2亿至6亿个Facebook和Instagram用户的密码在公司内部以明文存储,且已被上千个Facebook员工搜索过,最早可以追溯到2012年。
Facebook工程、安全和隐私部副总裁Pedro Canahuatiy对此回应称,他们在一月份的例行安全审查中发现了这一情况,现已修复并将通知受影响的用户。但他强调,没有证据表明这些密码曾被滥用或被公司以外的人访问过。
2~6亿用户密码未加密,被查询900万次
当地时间21日,安全调查记者Brian Krebs在自己的网站上公布了一份调查报告,称数以亿计的Facebook用户的账户密码在公司内部以纯文本形式存储,并可被数千名内部员工搜索,某些情况下甚至可以追溯到2012年。
这个消息来自一位Facebook熟悉该事件的高级别员工。他对Krebs表示,Facebook的调查显示,有2亿到6亿Facebook用户的账户密码可能以纯文本形式存储;据访问日志显示,大约两千名Facebook工程师或开发人员对这些数据进行了约900万次内部查询。
Krebs随后向Facebook求证。Facebook软件工程师Scott Renfro说,公司还不方便透露有多少内部员工访问了这些密码等具体数字,不过Facebook已经计划通知受影响的用户。
“我们为这次事件成立了一个小型工作组,以确保我们对可能存在问题的地方进行了广泛的审查”,Renfro说,为了防止这种情况再次发生,他们正在调查公司内部长期以来的基础设施变化,比如审查日志,查看是否存在数据滥用或未授权访问等情况。
Facebook声明:将通知受影响用户但无需改密码
随后,Facebook工程、安全和隐私部副总裁Pedro Canahuatiy就此事发布了声明。
Canahuatiy提到,他们在一月的一次例行安全审查中发现,有些用户的账户密码被存储为了可读格式,而Facebook一贯采用加密格式存储。据统计,共有上亿Facebook精简版(Facebook的版本之一,供网络连接较差的地区使用)用户、上千万Facebook用户、上万Instagram用户在此次事件中受到影响。
他还强调,这些密码对任何Facebook的外部人员不可见,并且他们没有发现员工有滥用或不当访问的情况。目前这个问题已经完全得到解决,他们将一一通知受到影响的用户。
这些受到影响的用户是否需要修改密码?Facebook的回应是,不用。
Renfro解释说,他们没有发现任何冲着密码而来的访问行为,所以这方面的风险并不存在。“我们想要在做出修改密码的决定前有所保留,除非真的发现了数据被滥用的确切证据。”
隐私护卫队了解到,过去一年,Facebook频频因数据泄露、数据滥用、系统漏洞出现在人们视野中。仅2019年,Facebook就已经被曝出旗下 VPN 应用程序绕过苹果应用商店审核、收集用户数据被撤销开发者证书,以及多个App会“偷偷”与Facebook共享用户的个人敏感信息等丑闻。
报料请点击
推荐阅读:
又被罚17亿美元!谷歌因“偏袒”自家服务,累计被罚近百亿美元
用户愿意用隐私换便利?经济学人智库隐私报告:美国比中国更认同