脸书又爆资安丑闻!上亿用户密码「没加密」,随便 2 万名员工

Facebook 资安风波从未消停过。近日他们 坦承 了一项在今年 1 月发现的漏洞,有多达数亿名 Facebook 使用者的密码以未加密形式储存在内部的伺服器,有超过 2 万名员工可直接阅读到,目前已修补了这项漏洞。

这项问题在今年 1 月初的例行安全检查时被发现。Facebook 工程、安全和隐私副总裁 Pedro Canahuati 强调,这些密码从未外洩,至今也没有证据显示密码被 Faceboook 内部人士滥用或被不正当存取,不过他并没有说明该公司是如何得出这项结论的。

网路安全记者 Brian Krebs 在一篇文章中揭露这起资安事件,Facebook 已经对此坦承。根据 Krebs 的说法,此安全漏洞可以追溯至 2012 年。

Facebook 表示,他们将对数以亿计的 Facebook Lite 用户以及数千万 Facebook 使用者们发出通知。值得注意的是,该公司还表示将通知 Instagram 使用者此次的密码事件。

超过 6 亿名使用者可能受影响!上次 Facebook 被骇有 8 万笔私讯「被公开」

Krebs 估计,约有多达 6 亿名使用者可能受到影响,约佔该公司 27 亿名用户的五分之一,不过这一数字尚未被 Facebook 证实。

去年 Twitter 和 Github 也曾发生类似漏洞,使用者的密码并非以加密形式,而是以明码形式储存。

这是 Facebook 个资丑闻中的最新一例,去(2018)年 10 月 Facebook 遭到骇客攻击,共有超过 2,900 万名使用者受到影响。一个月后,骇客在网上拍卖 1.2 亿笔 Facebook 帐户资料与登入方式,并公开了 8.1 万笔私讯内容。

 

参考

    《TechCrunch》:〈Facebook admits it stored ‘hundreds of millions’ of account passwords in plaintext〉《The Verge》:〈Facebook stored hundreds of millions of passwords in plain text〉《WIRED》:〈FACEBOOK STORED MILLIONS OF PASSWORDS IN PLAINTEXT—CHANGE YOURS NOW〉《Krebs on Security》:〈Facebook Stored Hundreds of Millions of User Passwords in Plain Text for Years〉