現在，很難用現有的隱私政策、安全策略等借口去掩蓋這個事實：在北京時間今天凌晨，根據Krebs on Security報道，Facebook確認了密碼管理系統的一個漏洞，這個漏洞可導致數億的Facebook帳號、Instagram以及Facebook Lite的明文密碼泄漏。這意味著數萬名Facebook員工可以直接查閱明文的密碼。Krebs的文章稱這種情況可以追溯到2012年。

一般來說，網站的運營者可以通過使用特定的單方加密的方法將密碼存儲在服務器上。通過這種方法，即時有人獲得了這個密碼，他們也無法知道這個密碼具體是什么，這種已加密的密碼也幾乎不可能被利用起來。作為一個服務數億用戶的公司，Facebook一定知道他們要面對的是一大批的黑客，并且他們要盡可能避免發生密碼泄漏的可能性，避免發生嚴重的安全災難。不幸的是，一個敞開的窗戶讓這些銅墻鐵壁般的安全防御措施徹底失效。

Facebook方面的解釋

“在一月份的日常安全巡查過程中，我們發現部分用戶的密碼在內部數據存儲系統里可以被任意讀取，”Facebook安全隱私副總裁Pedro Canahuati在聲明中是這么說的“我們的登錄系統已經是使用頂尖的技術去對密碼進行加密。我們可以這么說，這些密碼絕對不會在Facebook以外的任何一個人能夠看到，我們迄今為止也未發現有任何公司外部人員曾經訪問過這些數據?！?/p>

Canahuati稱Facebook現在已經修復了這個密碼記錄問題，并且Facebook將通知數億Facebook用戶和數千萬Instagram用戶，提醒他們去更換密碼。并且，Facebook并滅有計劃去重置用戶密碼。

作為一個這么龐大的目標，Facebook很少出現安全方面的技術錯誤，并且遇到這次事件的時候也并沒有逃避。但是這個公司從9月份的違規操作就已經開始備受質疑，其中攻擊者通過破壞用戶登錄的賬戶信息，竊取了3000萬用戶的數據。

上述事件間接的幫助Facebook發現這個明文存儲密碼的問題以及導致出現這種情況的漏洞，這個事件引發了這場找出過失的安全檢查?！霸谖覀兊陌踩珯z查中，我們一直在研究我們存儲各種信息的方式——例如訪問憑證——并且我們在發現問題的時候就要把問題解決掉?！睋﨏anahuati稱。

牛津大學技術和全球事務中心的獨立網絡安全顧問兼助理研究員Lukasz Olejnik表示：“好消息是，他們在積極主動的處理這個問題。據說，他們是在一次審計中發現這一問題，所以從這個層面上來說，過去的安全問題加上這次的數據泄露安全問題，往后Facebook公司的審計規則應該會更加標準?！?/p>

Facebook告訴WIRED，被泄露的密碼不可能全部存儲在一個地方，并且問題也不是出自密碼管理系統的某個漏洞（可能是多個漏洞引起）。相反，公司是無意間通過一些內部機制和存儲系統（例如崩潰日志），捕獲到的明文密碼。

Facebook表示，這件事情的性質導致這個問題更加復雜，很難被理解，也很難修復。公司內部已經花了將近兩個月的時間去調查該問題，并試圖披露調查結果。

像Facebook這種擁有大規模用戶數據的公司，應該保持網絡流量日志清晰有條理。當發生脫機、漏洞或者其他安全問題時，才可更好更快的追溯問題根源。在某些情況下，Facebook拉取這些數據也屬正常，但問題是，為什么Facebook要把含有敏感數據的日志存儲這么久，為什么公司對此事一無所知。

Open Crypto Audit Project的安全工程師和主管Kenn White表示：“作為調試bug的一部分，捕獲用戶數據，以及操縱如此大規模的網絡數據，這些事情是很不正常的。但Facebook能存儲這些數據長達數年之久，就說明他們的架構存在很多問題。他們有義務保護調試日志安全，并且需要對存儲的的日志進行審計。從某種意義上來說，他們擁有的是最為敏感的數據，因為這些數據未經任何處理，也沒有托管在任何地方?！?/p>

去年5月份，Twitter也發生過一起類似事件——用戶的明文密碼泄露。他們沒有第一時間要求用戶更改密碼，而是表示他們的密碼沒有泄露。同樣，Facebook也表示，據他們的調查顯示，沒有任何跡象表明有人竊取了他們數億的用戶密碼。

建議

不管你是否收到Facebook的更改密碼通知，你都應該立馬去更改你的密碼。

Facebook表示明文密碼問題現在已經修復，并且他們認為此次事件不會產生長期影響，因為密碼從未真正被盜過。但考慮到Facebook已經多次的爆發安全危機，很難知道接下來會發生什么。

責任編輯：韓希宇