Facebook 又出事了，明文存储了 6 亿用户的密码。

蜕变的蝴蝶

本周四，网络安全博客 Krebs On Security 撰文称，Facebook 在未加密的情况下存储了多达 6 亿个用户账户的密码，并以明文形式存储，公司员工可以随时访问。Facebook 随后发表官方博客承认了这一做法。Krebs On Security 引用要求匿名的 Facebook 员工的话说，从 2012 年至今，有将近 2-6 亿 Facebook 用户的账户密码可能是以纯文本形式存储的，并且可被 2 万多名 Facebook 员工搜索。

这名员工还表示，Facebook 仍在试图确定有多少密码被泄露，以及持续了多长时间。到目前为止，调查已经发现了部分档案，其中包含 2012 年的纯文本用户密码。消息人士称，Facebook 访问日志显示，大约 2000 名 Facebook 工程师和开发人员对包含纯文本用户密码的内容进行了大约 900 万次内部查询。“我们对数据进行分析的时间越长，Facebook 法律部人士的底线就越低。而且他们正在试图仅计算我们目前数据库里的记录，以使这个数字看起来小一点。”

Facebook 第二天发文承认了明文记录用户密码做法。“在 1 月的例行安全审查中，我们发现一些用户密码以可读格式存储在我们的内部数据存储系统中，”Facebook 撰文称，“这引起了我们的注意，因为我们的登录系统本应通过技术来屏蔽密码，使其不可读。我们已经修复了这些问题。为了提早预防，我们将通知相关用户。“

但在 Facebook 的博客文章中，该公司没有说明有多少用户受到影响。根据消息人士提供的数据，6 亿用户占到了 Facebook 全球 27 亿用户的 22%。Krebs On Security 消息人士的说法与 Facebook 官方博客的说法存在矛盾之处，比如 Facebook 的说法是今年 1 月之前并不知情，但消息人士称 Facebook 内部有数千员工多年来对它进行了 900 万次查询，两种说法不可能都是真相。

Facebook 软件工程师 Scott Renfro 在接受 Krebs On Security 采访时表示，该公司还没有准备好谈论具体的数字，亦不方便透露访问这些数据的员工人数。Facebook 计划提醒受影响的用户，但他们不需要重新设置密码。“到目前为止，我们还没发现有任何人故意搜寻密码，也没有发现数据被滥用的迹象。在这种情况下，我们认为这些密码是无意中被记录下来的，并不存在由此带来的实际风险。”伦弗罗说。

一直以来，Facebook 依赖广告的商业模式决定了它必须通过搜集用户数据来盈利，而这种商业模式也使得该公司经常在隐私问题上受到批评和罚款，比如导致它陷入长期舆论漩涡的“剑桥分析事件”。相比 Facebook 之前的丑闻，明文记载用户密码虽然听起来令人不适，但其实是一种非常低级的做法。Facebook 能够用这么多密码来做什么并不清楚。

但这种错误还是会让 Facebook 在对隐私问题敏感的欧洲惹上麻烦。欧盟《通用数据保护条例》规定，相关公司应该在 72 小时内向受隐私泄露影响的人发布通知，并要求公司安全存储密码。对于如何准确定义“适当的安全级别”，这项法律并没有给出明确定义，但欧盟委员会很可能认为，存储在内部并可供大量员工搜索的纯文本密码并不符合标准。

如果这一事件真的可以追溯到 2012 年，那么 Facebook 可能还需要对这些密码进行滥用情况调查。尽管该公司博文否认了数据滥用的可能，但它很难确定有内部访问权限的人离开公司后是否存在滥用密码行为。

本月，Facebook 刚刚宣布了有史以来最大的一次业务转型。 Mark Zuckerberg 撰文称，未来的社交媒体“将以私密通讯和小群体聊天为中心”，并强调 Facebook 将加密用户聊天、赋予用户定时删除聊天记录的能力等等，显示该公司对隐私问题的重视。

扎克伯格写到：“我理解，许多人并不认为 Facebook 有能力甚至有意愿建立这样一个基于隐私的平台，因为坦率地讲，我们目前在建立隐私保护服务方面的名声并不好，而且我们过去专注于更开放的共享工具。但是我们已经一再证明，我们能够不断发展，打造出人们真正想要的服务，包括私人即时通讯和新闻。”