六亿用户密码无加密 fb逾两万员工可浏览

（星岛日报报道）近年屡爆用户资料外泄丑闻的社交网站facebook再现安全漏洞，被揭发自二○一二年来以纯文字格式，将最少六亿用户的帐号密码储存在内部伺服器，令超过二万名员工可直接阅读。facebook承认今年初发现这个漏洞，强调已作修补。

网络安全网站KrebsOnSecurity引述facebook消息人士指，facebook今年一月的内部调查显示，有多达六亿名用户的密码，储存在没有加密的纯文字、无加密格式文件中，两万多名员工可搜寻得到。KrebsOnSecurity研究员克莱布斯引述有关消息人士指，上述的用户密码档案可追溯至二○一二年。

facebook工程、安全和隐私副总裁卡纳瓦蒂承认，有关错误是在今年初例行安全审查时发现，但强调公司外人士看不到有关密码，迄今也没发现任何内部滥用密码的证据。卡纳瓦蒂指团队已修复问题，并将通知所有密码被这种方式存储的数以亿计facebook Lite用户、数以百万计facebook用户，及数以万计Instagram用户，建议他们更改密码。

据悉，密码曝光的帐户，多数是facebook Lite，也就是轻量版的使用者，这是facebook专为网络比较不普及、网速比较慢的地区设计，可以更节省网络流量。

今次事件料引发欧盟负责网路数据安全部门「爱尔兰数据保护委员会」关注。 去年五月二十五日，《欧盟数据保护条例》生效，允许网络公司在七十二小时内通知受隐私泄露影响的用户，并要求有关公司安全地存储用户密码。

facebook也建议用户采取一些措施来保护帐户安全，例如别在不同的服务使用同一组密码、选择强度高且复杂的密码组合，或是设定可从第三方应用程式取得验证码的双重验证功能。