日前 Facebook CEO 朱克伯格才公布「私隱優先」的新政策,誰知昨日就被匿名內部人員向網絡安全網站爆料,指原來 Facebook 過去 7 年都將用戶的密碼以純文字方式儲存下來,公司內部 2 萬個員工都可以查閱得到,涉及用戶數目達 2-6 億人!
涉事的服務包括 Facebook 、 Instagram 和 Facebook Lite ,據網絡安全網站 Krebs on Security 收到 Facebook 一名匿名職員爆料指,公司由 2012 年開始已將用戶密碼以純文字方式保存,公司 2 萬名員工都可以搜尋。而根據存取紀錄,過去已經有 2,000 人存取過含有該純文字密碼紀錄的資料,查詢次數約 900 萬次。
事件曝光後 Facebook 發表聲明,指他們的保安工程師在 1 月對新增的程式碼進行審查時,發現密碼被錯誤地以可閱讀格式紀錄下來,並指有關問題經已修正。他們強調有關的檔案不能在公司外部存取,至今未有證據證明內部有人不當地存取或使用有關密碼。
一般來說,大部分有會員系統的服務都不會以明碼保存用戶的密碼,通常都會經過所謂「雜湊 (Hashing) 」的方式將密碼變成不可復原的字串後才保存在系統,確保沒有人可以從字串找回原本的密碼。不過部分不嚴謹的服務仍有以明碼方式儲存密碼,一旦該些服務被駭,駭客就可以取得用戶的密碼騎劫帳戶。另外,不少人都會「一個密碼走天涯」,一個服務的密碼被盜可能會涉及更多服務受威脅。
Facebook 將會向受影響用戶發出電郵,並提示用戶可以進行以下措施保障帳戶安全:
- 更改 Facebook 和 Instagram 密碼,避免在不同服務間重用密碼;
- 使用高強度而複雜的密碼,可以使用密碼管理程式來協助管理;
- 啟用雙重認證來保護帳戶。