Facebook is probing a series of security failures in which employees built applications that logged unencrypted password data for Facebook users and stored it in plain text on internal company servers.

Quelle: Krebs on Security

Es geht also nicht darum, dass die Passwörter nicht gehasht wurden, sondern um ein Logging von sensiblen Daten.

Ist für Facebook zwar nur Kleingeld, aber für das Geld hätten sie trotzdem einige Sicherheitsarchitekten bezahlen können, also bin ich mal vorsichtig optimistisch, dass die Strafe tatsächlich wirkt.

Für Passwörter im Klartext sollte man die Täter hinter Gitter bringen.

Meta deaktiviert wohl auch SELinux auf ihren CentOS Serverfarmen.

Anscheinend ist ihr Code schlecht?