六亿用户密码无加密保护 fb逾两万员工可任睇

近年屡爆用户资料外泄丑闻、拥有23亿用户的社交网站facebook再现安全漏洞，被揭发自2012年来以纯文字格式，将最少六亿用户的帐号密码储存在内部伺服器，令超过二万名员工可直接阅读。facebook承认今年初发现这个漏洞，但强调已作修补，而且从来没有公司以外的人士看到密码，迄今也没证据显示密码被内部人员不当使用。

网络安全网站KrebsOnSecurity引述facebook消息人士指，facebook今年一月进行的内部调查显示，有多达六亿名用户的密码，储存在没有加密的纯文字、没有被加密的格件中，两万多名员工皆可搜寻得到。

但KrebsOnSecurity研究员克莱布斯（Brian Krebs）引述有关消息人士指，上述的用户密码档案可追溯至2012年。

facebook工程、安全和隐私副总裁卡纳瓦蒂（Pedro Canahuati）承认，有关错误是在今年初例行安全审查时发现，但强调公司外人士看不到有关密码，迄今也没发现任何内部滥用密码的证据。不过消息曝光后，facebook股价下跌将近百分之一。

卡纳瓦蒂指团队已修复问题，并将通知所有密码被这种方式存储的数以亿计facebook Lite用户、数以百万计facebook用户，以及数以万计Instagram用户，建议他们更改密码。

据悉，密码曝光的帐户，多数是facebook Lite，也就是轻量版的使用者，这是facebook专为网络比较不普及、网速比较慢的地区设计，可以更节省网络流量。

毫无疑问，今次事件将引发欧盟负责网路数据安全部门「爱尔兰数据保护委员会」关注。

去年5月25日，《欧盟数据保护条例》生效，允许网络公司在72小时内通知受隐私泄露影响的用户，并要求有关公司安全地存储用户密码。