【大公報訊】據CNN、《商業內幕》及《華爾街日報》報道：日前因用戶私隱泄露問題而飽受詬病的社交網站巨頭Facebook（Fb），21日又被爆用明碼形式存儲6億用戶的登錄密碼，任由2萬多名內部員工查看。Fb表示已修復這起個資問題，但不認為員工中有濫用或不當取得密碼的行為。

　　經營安全新聞網站KrebsOnSecurity.com作者克雷布斯最先披露這項消息，他引述Fb內部消息人士說法稱，最近Fb的內部調查發現，有員工將Fb用戶的帳戶密碼以純文本形式存儲在內部服務器裏，約有2億至6億用戶受影響，超過2萬名內部員工都能搜到。

　　兩萬員工輕易取得

　　消息人士還指，此安全漏洞從2012年起就存在，查詢紀錄顯示，過去逾2000名工程師和開發者曾進行過約9萬次的查詢。克雷布斯說，他的消息人士在等待Fb主動披露此事的過程中失去了耐心，認為Fb可能一直會拖延時間，於是嘗試聯繫克雷布斯。

　　Fb官方隨即在網站上坦承確有此事，但未披露具體的影響人數。上述消息人士表示：「內部調查拖得越久，Fb的法務就更傾向於將受影響的用戶人數說得少些」，例如只計算目前資料庫中的數字。

　　Fb還指，是在今年1月的例行安全檢查中發現問題，其中Fb和Instagram分別有上百萬和數萬用戶的密碼是以明碼存儲的。而Fb簡裝版、用於網路連線較差地區的Facebook Lite更有上億用戶受影響。

　　此外，聲明中稱公司已經修復此問題並通知受影響的用戶修改密碼，同時建議用戶採取措施保護帳號安全，但修改密碼不是強制性措施。

　　推特曾犯同樣錯誤

　　對於是否有員工濫用密碼的問題，Fb強調「沒有證據表明公司內部有任何人濫用或不當使用這些數據」，且受影響的用戶密碼從未流出公司，讓其他人獲取。

　　其他社交網站密碼存儲也曾出現類似問題，去年5月推特要求3.31億用戶修改密碼，亦是發現內部系統記錄用戶的未加密密碼，但都沒有Fb這次誇張。一來受到影響的人沒有很多，另一方面能不當存取這些密碼的人數不多。

　　德司法部長痛斥不專業

　　Fb一直採用散列算法來處理密碼，公司內部稱之為「洋葱（the onion）」。這是不可逆的單向密碼體制，即只有加密過程，沒有解密過程。Fb的聲明中沒有提到是次大量密碼沒有加密的原因。報道指，一旦明碼存儲密碼的服務被黑，黑客就可以取得用戶的密碼騎劫帳戶。另外，不少人都會「一個密碼走天涯」，一個服務的密碼被盜可能會涉及更多服務受威脅。

　　澳洲計算機安全公司UpGuard安全研究員維克里表示，在Fb這樣員工分工獨立的大公司裏，發生類似錯誤的可能性更大。因為有程序員設計傳輸中的密碼記錄系統，但他們從不考慮加密密碼，而設計密碼存儲數據的人很可能都不知道該記錄系統的存在。

　　維克里稱，即使沒有用戶因為這個錯誤受到損害，但在處理數據方面的馬虎疏漏，是Fb糟糕的數據管理文化的又一例證。

　　德國司法部長卡塔琳娜．巴利稱，她很難想像Fb會出現如此「令人恐懼的不專業」行為。美國加州大學柏克萊分校數據私隱研究副教授馬利根表示，如果密碼都能被數千員工直接獲取，不難想像其他數據的處理方式有多麼糟糕。