【大公报讯】据CNN、《商业内幕》及《华尔街日报》报道：日前因用户私隐泄露问题而饱受诟病的社交网站巨头Facebook（Fb），21日又被爆用明码形式存储6亿用户的登录密码，任由2万多名内部员工查看。Fb表示已修复这起个资问题，但不认为员工中有滥用或不当取得密码的行为。

　　经营安全新闻网站KrebsOnSecurity.com作者克雷布斯最先披露这项消息，他引述Fb内部消息人士说法称，最近Fb的内部调查发现，有员工将Fb用户的帐户密码以纯文本形式存储在内部服务器裏，约有2亿至6亿用户受影响，超过2万名内部员工都能搜到。

　　两万员工轻易取得

　　消息人士还指，此安全漏洞从2012年起就存在，查询纪录显示，过去逾2000名工程师和开发者曾进行过约9万次的查询。克雷布斯说，他的消息人士在等待Fb主动披露此事的过程中失去了耐心，认为Fb可能一直会拖延时间，於是尝试联繫克雷布斯。

　　Fb官方随即在网站上坦承确有此事，但未披露具体的影响人数。上述消息人士表示：“内部调查拖得越久，Fb的法务就更倾向於将受影响的用户人数说得少些”，例如只计算目前资料库中的数字。

　　Fb还指，是在今年1月的例行安全检查中发现问题，其中Fb和Instagram分别有上百万和数万用户的密码是以明码存储的。而Fb简装版、用於网路连线较差地区的Facebook Lite更有上亿用户受影响。

　　此外，声明中称公司已经修复此问题并通知受影响的用户修改密码，同时建议用户採取措施保护帐号安全，但修改密码不是强制性措施。

　　推特曾犯同样错误

　　对於是否有员工滥用密码的问题，Fb强调“没有证据表明公司内部有任何人滥用或不当使用这些数据”，且受影响的用户密码从未流出公司，让其他人获取。

　　其他社交网站密码存储也曾出现类似问题，去年5月推特要求3.31亿用户修改密码，亦是发现内部系统记录用户的未加密密码，但都没有Fb这次夸张。一来受到影响的人没有很多，另一方面能不当存取这些密码的人数不多。

　　德司法部长痛斥不专业

　　Fb一直採用散列算法来处理密码，公司内部称之为“洋葱（the onion）”。这是不可逆的单向密码体制，即只有加密过程，没有解密过程。Fb的声明中没有提到是次大量密码没有加密的原因。报道指，一旦明码存储密码的服务被黑，黑客就可以取得用户的密码骑劫帐户。另外，不少人都会“一个密码走天涯”，一个服务的密码被盗可能会涉及更多服务受威胁。

　　澳洲计算机安全公司UpGuard安全研究员维克里表示，在Fb这样员工分工独立的大公司裏，发生类似错误的可能性更大。因为有程序员设计传输中的密码记录系统，但他们从不考虑加密密码，而设计密码存储数据的人很可能都不知道该记录系统的存在。

　　维克里称，即使没有用户因为这个错误受到损害，但在处理数据方面的马虎疏漏，是Fb糟糕的数据管理文化的又一例证。

　　德国司法部长卡塔琳娜．巴利称，她很难想像Fb会出现如此“令人恐惧的不专业”行为。美国加州大学柏克莱分校数据私隐研究副教授马利根表示，如果密码都能被数千员工直接获取，不难想像其他数据的处理方式有多麼糟糕。