情境圖:Facebook總部辦公室(圖片來源/Facebook)

資安部落格Krebs On Security引述消息人士報導,臉書數百萬用戶帳號密碼早從2012年起就以明文儲存,且至少有數千名員工已經搜尋過,但臉書表示沒有證據顯示這些密碼遭到存取。

這也獲得臉書證實。臉書是在今年一月進行內部調查時,發現大批密碼以明文儲存在臉書內部資料儲存系統。臉書原本透過雜湊及加鹽,包括使用scrypt算法及加密金鑰來隱藏用戶密碼。Krebs On Security引述消息人士指出,因為「一連串的安全行為失當」,讓某些員工撰寫了可紀錄用戶未經加密處理的密碼、且讓這些資料且以明文格式儲存。

有「數億Facebook Lite用戶、數千萬臉書用戶及數萬IG用戶」受到影響。臉書聲稱該公司一發現上述情形已修補問題。臉書也認為這批資料外人都看不到,迄今也沒有證據顯示內部有人濫用或不當存取,不過為以防萬一臉書仍將會通知所有受影響的用戶。

消息人士透露,臉書粗估有2億到6億筆臉書用戶的密碼以明文儲存,有權限搜尋的臉書員工超過2萬名。初步調查顯示,確有2000名左右的臉書工程師或開發人員已經對包含這些密碼的資料做過查詢,且次數將近900萬次。雖然還未確定曝光的密碼總數及曝光時間,但現階段得知曝光密碼最早可追溯到2012 年。

Krebs On Security引述臉書工程師Scott Renfro回應指出,公司計畫通知受影響的臉書用戶,但不需要重設密碼。他並表示,員工撰寫的app是不小心紀錄到用戶密碼,沒有明確風險。

此事可能再讓臉書資安問題浮上檯面。歷經去年的多次大規模資料外洩,已重創臉書形象,臉書執行長祖克柏(Mark Zuckerberg)今年發表宣言,昭告未來臉書將建構以隱私、加密及資料安全為中心的通訊平台為宗旨。然而之後的事件仍然讓人質疑它的決心,包括它打算整合Facebook Messenger、WhatsApp、IG為共通傳訊平台,引發個資隱私疑慮。本月又有研究人員發現,臉書要用戶輸入作用雙因素驗證(2 Factor Authentication,2FA)的電話號碼,反而可讓其他人搜尋到,而且這項功能想關也關不掉。


Advertisement

更多 iThome相關內容