明文存密码？Facebook 作死

（给程序员的那些事加星标）

原创：程序员的那些事（id: iProgrammer）

Facebook 明文存密码很多年？简直没法相信吧，但还是发生了。

这个劲爆消息，当地时间 3月19日，由 KrebsOnSecurity 先发文爆出来。

当地时间 3 月 21 日，美国权威媒体 CNBC 在播放其他资讯时，临时插播了 FB 明文存密码的突发新闻。

另外，TIME 和 Mashable 等权威媒体也有相应报道了。

一位 FB 高级人士向 KrebsOnSecurity 透露，早在 2012 年开始，就开始明文存储用户密码，大约有 2 亿~6亿 FB 用户受到影响。超过 2 万名 Facebook 员工可以检索这些纯文本密码。

KrebsOnSecurity 在 FB 的内部消息源透露，根据访问日志显示，约有 2000 名 FB 工程师或开发者对包含纯文本用户密码的数据元素进行了约 900 万次内部查询。

Facebook 表示，密码都是存在内部服务器，外界无法访问。目前正在进行的调查没有发现有任何迹象表明员工滥用了这些密码数据。

网友评论

@花无缺_xx：？？？？，这么大网站还敢明文？

@玩云计算的民工：我勒个去，这个是超级低级错误

@千反田爱瑠爱好者：这事不单纯。一般公司做得再烂也好，哪怕后端啥都不做、前端 MD5 一次就不可能是明文存储。FB 这种级别的公司不可能犯这么低级的技术错误，更何况早就是 https 的，更不会是明文传输。除非这公司存储用户密码另有用途。

@松鼠过的鱼：是log的时候不小心记录了-，=正儿八经的密码怎么可能明文存。

@迷途伴读老书僮：FB不可能弱到不知道加密，应该有很特殊的不可告人的目的。

Facebook 的官方回应

针对明文密码事件，FB 官网发了一篇回应文章《Keeping Passwords Secure》，作者署名 Pedro Canahuati，他是负责安全和隐私的工程副总裁。

在今年 1 月份例行安全检查中，我们发现一些用户密码以可读格式（readable format）存储在我们的内部数据存储系统中。这引起了我们的注意，因为我们的登录系统采用了使密码不可读的技术来屏蔽密码。我们已经修复了这些问题，作为预防措施，我们将通知所有密码被我们发现以这种方式存储的人。

需要说明的是，在 Facebook 以外的任何人都无法看到这些密码。我们迄今没有发现任何证据表明，有内部员工滥用或不当访问了这些密码。我们将通知数亿 Facebook Lite 用户、数千万其他 Facebook 用户和数万 Instagram 用户。

措辞手法很溜，没说密码是「 plain text /明文」，而是用了「 readable format / 可读格式」。 回应的后面部分是讲他们如何保护用户密码的，就不摘编了。有兴趣自己看吧。FB 官方链接：http://t.cn/Ex1PQSz

关注「程序员的那些事」加星标，不错过圈内事

点「在看」关注 FB 劲爆新闻