现在，很难用现有的隐私政策、安全策略等借口去掩盖这个事实：在北京时间今天凌晨，根据Krebs on Security报道，Facebook确认了密码管理系统的一个漏洞，这个漏洞可导致数亿的Facebook帐号、Instagram以及Facebook Lite的明文密码泄漏。这意味着数万名Facebook员工可以直接查阅明文的密码。Krebs的文章称这种情况可以追溯到2012年。

一般来说，网站的运营者可以通过使用特定的单方加密的方法将密码存储在服务器上。通过这种方法，即时有人获得了这个密码，他们也无法知道这个密码具体是什么，这种已加密的密码也几乎不可能被利用起来。作为一个服务数亿用户的公司，Facebook一定知道他们要面对的是一大批的黑客，并且他们要尽可能避免发生密码泄漏的可能性，避免发生严重的安全灾难。不幸的是，一个敞开的窗户让这些铜墙铁壁般的安全防御措施彻底失效。

Facebook方面的解释

“在一月份的日常安全巡查过程中，我们发现部分用户的密码在内部数据存储系统里可以被任意读取，”Facebook安全隐私副总裁Pedro Canahuati在声明中是这么说的“我们的登录系统已经是使用顶尖的技术去对密码进行加密。我们可以这么说，这些密码绝对不会在Facebook以外的任何一个人能够看到，我们迄今为止也未发现有任何公司外部人员曾经访问过这些数据。”

Canahuati称Facebook现在已经修复了这个密码记录问题，并且Facebook将通知数亿Facebook用户和数千万Instagram用户，提醒他们去更换密码。并且，Facebook并灭有计划去重置用户密码。

作为一个这么庞大的目标，Facebook很少出现安全方面的技术错误，并且遇到这次事件的时候也并没有逃避。但是这个公司从9月份的违规操作就已经开始备受质疑，其中攻击者通过破坏用户登录的账户信息，窃取了3000万用户的数据。

上述事件间接的帮助Facebook发现这个明文存储密码的问题以及导致出现这种情况的漏洞，这个事件引发了这场找出过失的安全检查。“在我们的安全检查中，我们一直在研究我们存储各种信息的方式——例如访问凭证——并且我们在发现问题的时候就要把问题解决掉。”据Canahuati称。

牛津大学技术和全球事务中心的独立网络安全顾问兼助理研究员Lukasz Olejnik表示：“好消息是，他们在积极主动的处理这个问题。据说，他们是在一次审计中发现这一问题，所以从这个层面上来说，过去的安全问题加上这次的数据泄露安全问题，往后Facebook公司的审计规则应该会更加标准。”

Facebook告诉WIRED，被泄露的密码不可能全部存储在一个地方，并且问题也不是出自密码管理系统的某个漏洞（可能是多个漏洞引起）。相反，公司是无意间通过一些内部机制和存储系统（例如崩溃日志），捕获到的明文密码。

Facebook表示，这件事情的性质导致这个问题更加复杂，很难被理解，也很难修复。公司内部已经花了将近两个月的时间去调查该问题，并试图披露调查结果。

像Facebook这种拥有大规模用户数据的公司，应该保持网络流量日志清晰有条理。当发生脱机、漏洞或者其他安全问题时，才可更好更快的追溯问题根源。在某些情况下，Facebook拉取这些数据也属正常，但问题是，为什么Facebook要把含有敏感数据的日志存储这么久，为什么公司对此事一无所知。

Open Crypto Audit Project的安全工程师和主管Kenn White表示：“作为调试bug的一部分，捕获用户数据，以及操纵如此大规模的网络数据，这些事情是很不正常的。但Facebook能存储这些数据长达数年之久，就说明他们的架构存在很多问题。他们有义务保护调试日志安全，并且需要对存储的的日志进行审计。从某种意义上来说，他们拥有的是最为敏感的数据，因为这些数据未经任何处理，也没有托管在任何地方。”

去年5月份，Twitter也发生过一起类似事件——用户的明文密码泄露。他们没有第一时间要求用户更改密码，而是表示他们的密码没有泄露。同样，Facebook也表示，据他们的调查显示，没有任何迹象表明有人窃取了他们数亿的用户密码。

建议

不管你是否收到Facebook的更改密码通知，你都应该立马去更改你的密码。

Facebook表示明文密码问题现在已经修复，并且他们认为此次事件不会产生长期影响，因为密码从未真正被盗过。但考虑到Facebook已经多次的爆发安全危机，很难知道接下来会发生什么。

责任编辑：韩希宇