Facebook 被踢爆多年来一直以未加密的明码纯文字档储存数亿用户密码,而且任何 Facebook 企业内的人均可存取。
资安厂商 KrebsOnSecurity 发表新闻稿,指出自 2012 年以来,Facebook 便以未加密的明码纯文字档储存数亿用户密码于公司内部的服务器上;稍后 Facebook 也承认该报导。
Facebook 在稍晚发表的说明中指出,约有二亿到六亿 Facebook 用户的密码以明码储存,而且 Facebook 二万名员工均可存取。不过 Facebook 认为这些密码不曾向外流出。
KrebsOnSecurity 的报告也指出,根据匿名 Facebook 工程师查阅存取记录,发现这些年来约有二千名脸书工程师或开发者存取过这些密码档,存取次数则达到九百万次。
Facebook 表示,近期将会通知数亿名 Facebook Lite 与数万名 Instagram 用户关于密码存放风险的问题与指南。
同样的问题不只发生在 Facebook,Twitter 和 Github 也承认过去曾以明码存放用户密码。