北京时间3月21日晚间消息,据国外媒体krebsonsecurity网站报道,有数亿Facebook用户的账户密码被以明文(plain text)形式存储,并被数千名Fa
北京时间3月21日晚间消息,据国外媒体krebsonsecurity网站报道,有数亿Facebook用户的账户密码被以明文(plain text)形式存储,并被数千名Facebook员工访问900多万次。
该事件最早可追溯到2012年。对此,Facebook表示,调查结果显示,到目前为止还没有任何迹象表明员工们滥用了这些数据。
报道称,Facebook正在调查导致这一系列安全故障的原因。在这些故障中,员工构建的应用程序记录了Facebook用户的未加密密码数据,并以明文的形式存储在公司内部服务器上。
据Facebook一名资深员工称,到目前为止,调查显示,大约有2亿至6亿Facebook用户的账户密码可能以明文形式存储,可供2万多名Facebook员工搜索。
这位消息人士说,Facebook仍在试图确定有多少密码被曝光,持续了多长时间。到目前为止,调查已经发现一些文件显示,这种情况可追溯到2012年。
该消息人士还称,访问日志显示,大约2000名工程师或开发人员对包含明文密码的数据进行了大约900万次的内部查询。
这位消息人士称:“内部调查和分析的时间越长,Facebook的法务人员就越容易接受受影响用户的数。目前,他们正在努力通过只计算我们当前数据库中的内容来进一步减少这一数字。”
Facebook软件工程师斯科特·伦弗罗(Scott Renfro)在接受KrebsOnSecurity采访时表示,Facebook还没有准备好谈论具体的数字,例如可以访问这些数据的Facebook员工人数。
伦弗罗说,对于该事件,Facebook计划于今天提醒Facebook用户,但不需要重新设置密码。
伦弗罗说:“到目前为止,我们在调查中还没有发现,任何人企图故意寻找这些密码,也没有发现滥用这些数据的迹象。因此,我们认为这些密码是无意中被记录的,不存在由此带来的实际风险。因此,只有在这些数据确实被滥用的情况下,才需要强制更改密码。”
对此,Facebook在提供给KrebsOnSecurity的一份书面声明中称,Facebook预计将通知“数亿Facebook Lite轻度用户、数千万其他Facebook用户和数万Instagram用户”。
最近几个月,Githb和Twitter也都被迫承认了类似的失误。但对于Githb和Twitter事件,只有少数内部员工才可以看到用户的明文密码,而且时间也短得多。
伦弗罗称,这个问题第一次被发现是在今年1月。当时,安全工程师在审查一些新代码时发现了这一问题。
伦弗罗:“这一发现促使Facebook成立了一个小型工作组,以确保对任何可能发生这种情况的地方都进行了广泛的审查。我们已经制定了一系列控制措施,试图减轻这些问题。我们还在调查长期的基础设施变化,以防止这种情况继续下去。目前,我们现在正在审查所有的日志,以确定是否存在滥用或以其他方式访问这些数据的情况。”
在此次密码问题曝光之前,Facebook刚刚度过了艰难的一个月。上周,据《纽约时报》报道称,联邦检察官正在对Facebook与一些大型科技公司达成的数据交易进行刑事调查。
本月初,还有许多用户抱怨,Facebook将其电话号码与Facebook账户相关联。通过该电话号码,任何人都可以找到该用户的Facebook账号。更糟糕的是,Facebook还没有设置相关选项,允许用户取消这种关联。
去年,Facebook还曾被用户信息隐私问题弄得焦头烂额。3月,Facebook承认有8700万用户的信息被第三方不当分享。9月底,Facebook又发现一处安全漏洞,允许黑客获取访问权限,从而控制用户账号,受漏洞影响的账号数量高达5000万个。
12月,《纽约时报》有报道称,据一些内部文档和采访记录显示,多年来Facebook向全球150多家大企业提供其用户个人数据,所涉及内容远比Facebook之前披露的要多。(李明)
