Facebook多年来留下了数百万个员工可读的密码，违反了安全性

Facebook在一名安全研究人员揭露了这一失误后，于周四承认，Facebook留下了数百万个用户密码可供员工阅读。

通过以可读的纯文本存储密码，Facebook违反了基本的计算机安全惯例。这些要求组织和网站以加扰的形式保存密码，这几乎无法恢复原始文本。

记录未来的网络安全专家安德烈·巴里塞维奇 (Andrei Barysevich) 表示: “没有正当理由说明组织中的任何人，特别是Facebook的规模，都需要以纯文本形式访问用户的密码。”

Facebook表示，没有证据表明其员工滥用了对这些数据的访问。但是成千上万的员工可能已经搜索了他们。该公司表示，密码存储在公司内部服务器上，外部人员无法访问它们。即便如此，一些隐私专家建议用户更改其Facebook密码。

该事件揭示了一家公司的另一个巨大而基本的监督，该公司坚称自己是全球23亿用户个人数据的负责任监护人。

安全博客KrebsOnSecurity表示，Facebook可能已经使一些6亿Facebook用户的密码变得脆弱。在一篇博客文章中，Facebook表示，它可能会通知 “数亿” Facebook Lite用户、数百万Facebook用户和数万Instagram用户他们的密码以纯文本存储。

阅读此处Facebook Messenger获取报价和回复功能: 报告

Facebook Lite是为拥有旧手机或低速互联网连接的人设计的版本。它主要用于发展中国家。

上周，Facebook首席执行官马克·扎克伯格 (Mark Zuckerberg) 吹捧了社交网络的新 “以隐私为中心的愿景”，该愿景将强调私人交流而不是公共共享。该公司希望鼓励一小群人进行加密的对话，而Facebook和其他任何局外人都无法阅读。

然而，该公司无法做到像加密密码这样简单的事情，这一事实引发了人们对其完美无缺地管理更复杂加密问题 (如消息传递) 的能力的质疑。

Facebook表示，它在1月发现了这个问题。但是安全研究员Brian Krebs写道，在某些情况下，密码是以纯文本2012年存储的。Facebook Lite推出2015年，Facebook收购了Instagram 2012年。

根据Facebook的说法，这个问题不是由于一个错误造成的。它说，在1月的例行审查中，它发现纯文本密码被无意中捕获并存储在其内部存储系统中。这种情况发生在各种情况下 _ 例如，当应用程序崩溃并且生成的崩溃日志包含捕获的密码时。

但是Hold Security的创始人亚历克斯·霍尔登 (Alex Holden) 表示，Facebook的解释并不是草率的安全做法的借口，这种做法允许内部暴露如此多的密码。

在此处阅读Facebook不会让广告商仅针对某些种族，性别或年龄段

Recorddefuture的Barysevich表示，他不记得有任何大公司被发现暴露了这么多密码。他说，他已经看到了许多情况，规模较小的组织不仅向程序员而且向客户支持团队提供了此类信息。

运营 “haveibeenpwned.com” 数据泄露网站的安全分析师特洛伊·亨特 (Troy Hunt) 表示，这种情况可能会让Facebook感到尴尬，但除非对手获得密码，否则情况并不危险。Facebook发生了重大漏洞，最近一次是在9月，攻击者访问了大约2900万个帐户。

Rendition Infosec总裁杰克·威廉姆斯 (Jake Williams) 表示，以纯文本存储密码 “不幸的是，比大多数行业谈论的更普遍”，并且在开发人员试图消除系统中的错误时往往会发生。

他说，Facebook博客文章暗示以纯文本存储密码可能是 “一种被认可的做法”，尽管他说这也可能是 “流氓开发团队” 的罪魁祸首。

亨特 (Hunt) 和克雷布斯 (Krebs) 都将Facebook的失败比作去年在Twitter和GitHub上规模较小的类似失误; 后者是开发人员存储代码和跟踪项目的网站。在这些情况下，由于在内部日志中意外存储了明文密码，因此归咎于软件错误。

该公司周四在其博客文章中指出，Facebook的密码正常程序是存储编码后的密码。

安全研究员罗伯·格雷厄姆 (Rob Graham) 说，尽管Facebook工程师显然添加了击败了safeguard的代码，但很高兴知道这一点。他说: “他们的门上有所有合适的锁，但有人开着窗户。”