明文存密碼成慣例? Facebook 的官方回應(yīng)

Facebook 明文存密碼很多年？簡(jiǎn)直沒法相信吧，但還是發(fā)生了。

這個(gè)勁爆消息，由 KrebsOnSecurity 先發(fā)文爆出來。

國(guó)權(quán)威媒體 CNBC 在播放其他資訊時(shí)，臨時(shí)插播了 FB 明文存密碼的突發(fā)新聞。

另外，TIME 和 Mashable 等權(quán)威媒體也有相應(yīng)報(bào)道了。

一位 FB 高級(jí)人士向 KrebsOnSecurity 透露，早在 2012 年開始，就開始明文存儲(chǔ)用戶密碼，大約有 2 億~6億 FB 用戶受到影響。超過 2 萬名 Facebook 員工可以檢索這些純文本密碼。

KrebsOnSecurity 在 FB 的內(nèi)部消息源透露，根據(jù)訪問日志顯示，約有 2000 名 FB 工程師或開發(fā)者對(duì)包含純文本用戶密碼的數(shù)據(jù)元素進(jìn)行了約 900 萬次內(nèi)部查詢。

Facebook 表示，密碼都是存在內(nèi)部服務(wù)器，外界無法訪問。目前正在進(jìn)行的調(diào)查沒有發(fā)現(xiàn)有任何跡象表明員工濫用了這些密碼數(shù)據(jù)。

網(wǎng)友評(píng)論

@花無缺_xx：？？？？，這么大網(wǎng)站還敢明文？

@玩云計(jì)算的民工：我勒個(gè)去，這個(gè)是超級(jí)低級(jí)錯(cuò)誤

@千反田愛瑠愛好者：這事不單純。一般公司做得再爛也好，哪怕后端啥都不做、前端 MD5 一次就不可能是明文存儲(chǔ)。FB 這種級(jí)別的公司不可能犯這么低級(jí)的技術(shù)錯(cuò)誤，更何況早就是 https 的，更不會(huì)是明文傳輸。除非這公司存儲(chǔ)用戶密碼另有用途。

@松鼠過的魚：是log的時(shí)候不小心記錄了-，=正兒八經(jīng)的密碼怎么可能明文存。

@迷途伴讀老書僮：FB不可能弱到不知道加密，應(yīng)該有很特殊的不可告人的目的。

Facebook 的官方回應(yīng)

針對(duì)明文密碼事件，F(xiàn)B 官網(wǎng)發(fā)了一篇回應(yīng)文章《Keeping Passwords Secure》，作者署名 Pedro Canahuati，他是負(fù)責(zé)安全和隱私的工程副總裁。

在今年 1 月份例行安全檢查中，我們發(fā)現(xiàn)一些用戶密碼以可讀格式（readable format）存儲(chǔ)在我們的內(nèi)部數(shù)據(jù)存儲(chǔ)系統(tǒng)中。這引起了我們的注意，因?yàn)槲覀兊牡卿浵到y(tǒng)采用了使密碼不可讀的技術(shù)來屏蔽密碼。我們已經(jīng)修復(fù)了這些問題，作為預(yù)防措施，我們將通知所有密碼被我們發(fā)現(xiàn)以這種方式存儲(chǔ)的人。需要說明的是，在 Facebook 以外的任何人都無法看到這些密碼。我們迄今沒有發(fā)現(xiàn)任何證據(jù)表明，有內(nèi)部員工濫用或不當(dāng)訪問了這些密碼。我們將通知數(shù)億 Facebook Lite 用戶、數(shù)千萬其他 Facebook 用戶和數(shù)萬 Instagram 用戶。

措辭手法很溜，沒說密碼是「 plain text /明文」，而是用了「 readable format / 可讀格式」?；貞?yīng)的后面部分是講他們?nèi)绾伪Ｗo(hù)用戶密碼的，就不摘編了。有興趣自己看吧。