日前Facebook CEO 扎尔伯格才公布”私隐优先“的新政策,谁知第一时间就被匿名内部人员向网络安全网站爆料,指Facebook过去7年都将用户的密码以纯文字方式储存下来,公司内部约有2万个员工有权限查阅得到,涉事的服务平台包括Facebook、Instagram和Facebook Lite,涉及用户数目达2-6亿人!
该网络安全网站称,根据存取纪录,过去已经有2000名内部员工存取过含有该纯文字密码纪录的资料,查询次数约900万次。
事件曝光后 Facebook 发表声明,指他们的保安工程师在今年1月对新增的程式码进行审查时,发现密码被错误地以可阅读格式纪录下来,并指有关问题经已修正。他们强调有关的档案只能被内部员工查阅,而且至今未有证据证明内部有人不当地存取或使用有关密码。
使用明文来存储密码,可能是这个世界上最不安全的行为之一,和把密码设置为123456这样的事件同属于一个档次。一般来说,大部分有会员系统的服务平台都不会以明码保存用户的密码,通常都会经过杂凑(Hashing)的方式将密码变成不可复原的字符串后才保存在系统,确保没有人可以从字符串找回原本的密码。不过部分不严谨的服务平台仍有以明文方式存储密码,一旦这些平台被黑,黑客就可以获取用户密码并盗取帐户。另外,不少人习惯了”一个密码走天涯“,所以用户的密码被盗可能会牵涉到更多威胁。
去年多次数据外泄,已经重创Facebook的形象,现在一波未平一波又起,看来Facebook当真要“非死不可“了。
通域电讯UDomain为你八卦互联网那些事儿。
领取专属 10元无门槛券
私享最新 技术干货