3月21日最新消息，Facebook被爆出有6亿用户的密码使用明文存储，其影响波及该网站27亿用户的五分之一，目前Facebook尚未证实和回应这一数字。

至此，从三年前小扎在美国国会上听证，翻转“自上次Facebook以来的安全事件“的优势复归为零。Facebook帝国以及掌门扎克伯格的进入新的一轮困局。

Facebook周四在一篇博客文章中证实，该公司遭遇“密码门”。在网络安全记者布莱恩克.雷布斯发布的一份报告称，该网站多年来都在用明文形式存储几个亿的用户帐户密码。

Facebook的Pedro Canahuati说，这次问题是在1月份时被发现的，也是公司例行安全审查的一部分。他说，Facebook以外的任何人等都无法看到这些密码。在数个月之后，Facebook承认该安全策略失效，此前Krebs表示大约有2000名工程师及开发人员都可以通过日志拿到这些明文密码。

安全专家建议使用类似HaveIBeenPwned这样的工具来检查密码是否已被泄露。开发者还建议使用密码管理器定期更改为复杂密码。

有Facebook员工举报说，这个漏洞的历史其实可以追溯到2012年。

“这引起了我们的注意，因为我们的用户登录系统旨在使用不可读的技术来加密密码，”Facebook发言人 Canahuati 说。“到目前为止，我们尚未发现任何内部滥用或不正当访问它们的证据。”

Facebook并没有说明该公司是如何做出这一结论的。

Facebook说明，将通知“数以亿计的Facebook Lite用户”，这是面向窄带互联网且带宽昂贵的用户的Facebook 轻量版，以及“数千万其他Facebook用户。”该公司还表示“数十个成千上万的Instagram 用户“也将收到密码曝露的提醒。

Facebook一直未说明这个bug是怎么来的。Canahuati还特别指出：

然而，对于去年连续爆出多起数据泄露事件的Facebook，这句话越来越难以让人信服。

以可读明文形式存储密码是一种密码存储方式，在国内很多网站也很多公司这么干，不论是什么原因，这都是极不安全的方式，它们并没有加密。

在技术实现层面，比如Facebook，最起码要采用哈希和salt加密，然后再安全地存储密码，以上两个步骤。这样公司也不知道用户密码，但仍然可以验证用户的密码有效性。

Twitter和GitHub去年遭遇了类似但彼此独立的安全漏洞。两家公司的密码也均以明文形式存储，也没有加密。

这是该公司一系列令人尴尬的安全问题的最新一期，预计会促使新一轮的国会和政府调查。据报道，Facebook 上周允许其他公司不经同意访问帐户数据的交易也正在被刑事调查。

不知道为什么Facebook花了几个月的时间来确认这一事件，或者该公司是否因违返欧洲数据保护法被告知所在州或国际监管机构。媒体询问了Facebook，但发言人没有立即发表评论。

覆盖Facebook欧洲业务的爱尔兰数据保护办公室表示，该公司“告知了我们这个问题”，监管机构“正在寻求进一步的信息”。

不能用明文密码，是我们在学习用户验证是时教给学生的第一件事。FaceBook如此庞大的工程团队竟然没有实现这点，是一个挺令人惊讶的现象。

从技术上来，也有可能是出在日志上，而不应该是身份验证问题。FB是将密码存储为哈希+salt的方法以进行验证，可能一些日志记录的是用户成功登录时的请求，而这些在索引时没有被排除/删除，最终会出现在Elastic中。

如果开发者仍需要这些数据，能不能把日志加密？我觉得该场景只会在更改密码时发生，而不是身份验证或帐户创建成功时保存。

这是Facebook一系列糟糕的安全问题中的最新一例。去年10月，黑客在窃取登录令牌后，从2900万个帐户中获取个人信息。在此之前，有81,000名用户的私信被出售。这些都不包括剑桥Analytica开展的大规模非认证数据共享问题，政府开始给Facebook施加压力以改变其做法。

和FaceBook之前这些安全打击外，今天这件事可能也不是那样可怕或是那么愚蠢。

我们追溯到2014年，随着问题的积累，Facebook改变了其座右铭从“快速行动，打破局面”变成明显不那么有魅力的“ 用稳定的基础架构快速行动。”尽管如此，在内部，大部分原始精神仍然存在，匆忙的推动开始在离线世界中付出代价。 

我们还能够相信马克.扎克伯格吗？

作者：周末的周小七

来源：21CTO社区，综合自网络。