爆Facebook明文明文存储密码：供2万多名员工搜索

据美国科技博客Krebs on Security网站报道，有数亿Facebook用户的账号密码被以明文(plain text)形式存储，并被数千名Facebook员工访问900多万次。该公司周四表示，它计划开始通知受影响的人，以便他们可以更改密码。

网络安全记者Brian Krebs周四发布的一份报告称，Facebook存储了多达6亿个没有加密的用户帐户密码，并且可以作为纯文本查看给成千上万的公司员工。

Facebook在一篇博文中证实了这一报道。Facebook股价周四下跌不到1%。负责管理欧盟通用数据保护条例(GDPR)的爱尔兰数据保护委员会周四也表示，Facebook已经就此问题达成了一致，。报道称，Facebook正在调查导致这一系列安全故障的原因。在这些故障中，员工构建的应用程序记录了Facebook用户的未加密密码数据，并以明文的形式存储在公司内部服务器上。

“作为1月份例行安全审查的一部分，我们发现一些用户密码以可读格式存储在我们的内部数据存储系统中，”Facebook在一份声明中说。“这引起了我们的注意，因为我们的登录系统旨在使用使其不可读的技术来掩盖密码。我们已经解决了这些问题，并且作为预防措施，我们将通知我们找到的密码以这种方式存储的每个人。”

Facebook的博客文章没有说明有多少用户受到影响。

有消息人士说，Facebook仍在试图确定有多少密码被曝光，持续了多长时间。到目前为止，调查已经发现一些文件显示，这种情况可追溯到2012年。Krebs援引一位名叫Scott Renfro的Facebook软件工程师的话说，该公司没有发现任何有关数据被滥用的情况，并且“没有实际存在的风险”。

然而，由于多年的隐私和安全丑闻，Facebook一直受到严密的审查，这些丑闻使公司受到客户的批评，以及来自多个监管机构(尤其是欧盟)的查询和罚款。

但Facebook的丑闻并没有显着削弱该公司的活跃日常用户数量，尽管Facebook评论家鼓励有隐私意识的客户删除他们的账户，但上个季度的社交媒体活动有所增加。

审查来自全球监管机构

毫无疑问，这一事件将触发GDPR下的审查，该审查只允许72小时的通知窗口受到隐私泄露影响，并要求公司安全地存储密码。关于如何精确定义“适当的安全级别”，法律有些含糊不清，但委员会可能会考虑内部存储的纯文本密码，并且大量员工可以访问这些密码以满足这些标准。

如果事件确实延伸到2012年，该公司可能还需要对这些密码如何被滥用进行大量调查。尽管Facebook在其博客文章中表示他们“迄今没有发现任何内部滥用或不正当访问它们的证据”，但该公司很难确定具有内部访问权限的人是否或如何能够滥用密码在公司外面。