据美国财经媒体CNBC报道,网络安全记者布赖恩-克雷布斯(Brian Krebs)周四报道,社交网络巨头Facebook(NASDAQ:FB)存储了“数亿个”未经加密的账户密码,而且该公司的数万名员工都能以纯文本的形式看到这些账号密码。
Facebook发布博文,证实了这篇报道的内容。受此消息影响,Facebook股价在美股市场周四的交易中一度跌近1%。
这一事件可能已经对最多6亿名用户造成了影响,这在该公司总共27亿的用户基数中占了很大一部分比例。Facebook周四称,该公司计划开始向受影响用户发出通知,以便他们更改密码。
“在1月份的例行安全审查中,我们发现有些用户密码以可读格式被存储在公司内部的数据存储系统中。这引起了我们的注意,因为我们的登录系统被设计为使用不可读技术来屏蔽密码。我们已经解决了这些问题,而作为预防措施,对于那些密码被以这种方式存储的所有用户,我们都将向其发出通知。”Facebook在周四发表的一份声明中说。
Facebook在博文中并未提到有多少用户受到了影响。
报道称,这个问题最早可以回溯至2012年。克雷布斯援引一位名叫斯科特-伦弗罗(Scott Renfro)的Facebook软件工程师透露的消息称,该公司尚未发现任何数据滥用的情况,该工程还表示:“这不会带来任何实际风险。”
但由于多年以来一直都面临着隐私权和安全丑闻缠身的困境,Facebook已经受到了严厉的审查。这些丑闻招来了客户的批评,而多个监管机构(尤其是欧盟监管机构)已经就此向Facebook发出调查,并对其处以罚款。
不过,Facebook的诸多丑闻并未导致该公司的活跃日用户人数明显减少。尽管Facebook的批评者在社交媒体上发起了一场旷日持久的运动,鼓励注重隐私的用户删除其Facebook账号,但在上个季度中,Facebook的活跃用户人数还是有所增加。
这一事件无疑将会引发负责管理欧盟通用数据保护条例(GDPR)的爱尔兰数据保护专员(Data Protection Commissioner)的审查。
通用数据保护条例既允许公司在72小时的通知窗口期内向受隐私泄露影响的用户发出通知,同时又要求公司必须安全地存储密码。称,从某种程度上来说,这项法律在如何准确定义“适当的安全级别”方面有些模棱两可,但爱尔兰数据保护专员很可能将会判定,以纯文本形式存储在公司内部、并对大量员工开放的密码是不合标准的。