据网络安全记者Brian Krebs周四发布的一份报告称,Facebook存储了多达6亿个没有加密的用户帐户密码。这些账户密码可以作为纯文本,给该公司成千上万的公司员工查看。Facebook在一篇博文中证实了这一报道。
6亿用户占Facebook全球27亿人口用户的22%。该公司周四表示,计划开始通知受影响的用户,以便他们可以更改密码。
“作为1月例行安全审查的一部分,我们发现一些用户密码以可读格式存储在我们的内部数据存储系统中,”Facebook在一份声明中说。 “这引起了我们的注意,因为我们的登录系统本应通过技术来屏蔽密码,使其不可读。我们已经修复了这些问题,作为预防措施,我们将通知我们发现的密码是以这种方式存储的用户。”
不过,在Facebook的博客文章中,该公司没有说明有多少用户受到影响。
据报道,这一事件可追溯到2012年。 Krebs援引一位名叫Scott Renfro的Facebook软件工程师表示,该公司没有发现任何有关数据被滥用的情况,并且“没有实际存在的风险”。然而,由于多起隐私和安全丑闻,Facebook一直受到严密的审查,这些丑闻使公司受到客户的批评,以及来自多个监管机构(尤其是欧盟)的问询和罚款。但Facebook的丑闻并没有显著削弱该公司的日常活跃用户数量,上个季度的社交媒体活动有所增加。
毫无疑问,这一事件将引发爱尔兰数据保护专员的审查,该专员负责执行欧盟新的通用数据保护条例(GDPR)。
GDPR规则允许给予公司72小时的时间,来通知受隐私泄露影响的用户,并且要求公司安全地存储密码。
如果事件确实延伸到2012年,Facebook可能还需要对这些密码如何被滥用进行大量调查。尽管Facebook在其博客文章中表示他们“迄今没有发现任何内部滥用或不正当访问它们的证据”,但该公司很难确定具有内部访问权限的人在公司外部是否滥用了这些数据。