超過 20,000 名 Facebook 員工能取存用戶密碼

Facebook 資安事故一波未平、一波又起，他們剛主動交代一宗在一月時發現的問題，據指有部份用戶的密碼被以純文字方式儲存伺服器中，並沒有按程序地被屏蔽，使得超過 20,000 名 Facebook 員工都有可能存取到這些密碼。Facebook 表示他們將會向受影響的用戶發出通知，其中逾千萬人是 Facebook Lite 應用程式的用戶，這是個針對緩慢網路環境和低配置手機而開發的版本。另外也有逾千萬的一般版 Facebook 用戶和數萬名 IG 使用者受影響。

這些以純文字儲存的密碼，一旦被不法份子獲得就會不堪設想，但 Facebook 強調這些登入憑證「不可能被外部人士看到」，Facebook 工程、安全和隱私副總裁 Pedro Canahuati 則表示，他們沒有找到證據顯示有內部人士濫用或不恰當地存取這些數據。

雖然 Facebook 避重就輕地描述事件，但 Krebs on Security 接獲匿名的 Facebook 高級員工爆料，指這些被以純文字方式儲存的密碼高達 6 億筆，其中更有的登入憑證是在 2012 年就被以這方式儲存。據說有 20,000 名 Facebook 員工有能力搜尋到這些數據，而截至 2018 年底，Facebook 總員工數為 35,587 名，換句話說就是大部分員工都可以看到這些密碼。同時也有指在取存記錄中，有約 2,000 名工程師或開發者「曾進行過約 900 萬則包含純文字密碼數據的內部查詢」。

Facebook 這次的資安事故自然需要好好善後了，但會否像早前涉嫌把數據分享予第三方企業而被聯邦調查局調查呢？同時 Facebook 的二步驟認證更被發現沒法真正提供保護。然而 CEO Mark Zuckerberg 透露過他們正把 Facebook 轉變成「專注隱私」的社交網絡的願景，似乎他們要加緊腳步才可以了。

來源: Facebook, Krebs on Security

經由: Engadget