臉書再出包！數百萬用戶密碼以明文儲存長達7年

資安部落格Krebs On Security引述消息人士報導，臉書數百萬用戶帳號密碼早從2012年起就以明文儲存，且至少有數千名員工已經搜尋過，但臉書表示沒有證據顯示這些密碼遭到存取。

這也獲得臉書證實。臉書是在今年一月進行內部調查時，發現大批密碼以明文儲存在臉書內部資料儲存系統。臉書原本透過雜湊及加鹽，包括使用scrypt算法及加密金鑰來隱藏用戶密碼。Krebs On Security引述消息人士指出，因為「一連串的安全行為失當」，讓某些員工撰寫了可紀錄用戶未經加密處理的密碼、且讓這些資料且以明文格式儲存。

有「數億Facebook Lite用戶、數千萬臉書用戶及數萬IG用戶」受到影響。臉書聲稱該公司一發現上述情形已修補問題。臉書也認為這批資料外人都看不到，迄今也沒有證據顯示內部有人濫用或不當存取，不過為以防萬一臉書仍將會通知所有受影響的用戶。

消息人士透露，臉書粗估有2億到6億筆臉書用戶的密碼以明文儲存，有權限搜尋的臉書員工超過2萬名。初步調查顯示，確有2000名左右的臉書工程師或開發人員已經對包含這些密碼的資料做過查詢，且次數將近900萬次。雖然還未確定曝光的密碼總數及曝光時間，但現階段得知曝光密碼最早可追溯到2012 年。

Krebs On Security引述臉書工程師Scott Renfro回應指出，公司計畫通知受影響的臉書用戶，但不需要重設密碼。他並表示，員工撰寫的app是不小心紀錄到用戶密碼，沒有明確風險。

此事可能再讓臉書資安問題浮上檯面。歷經去年的多次大規模資料外洩，已重創臉書形象，臉書執行長祖克柏（Mark Zuckerberg）今年發表宣言，昭告未來臉書將建構以隱私、加密及資料安全為中心的通訊平台為宗旨。然而之後的事件仍然讓人質疑它的決心，包括它打算整合Facebook Messenger、WhatsApp、IG為共通傳訊平台，引發個資隱私疑慮。本月又有研究人員發現，臉書要用戶輸入作用雙因素驗證（2 Factor Authentication，2FA）的電話號碼，反而可讓其他人搜尋到，而且這項功能想關也關不掉。

數億用戶密碼沒加密 臉書：未見不當情事發生

臉書（Facebook）今天承認數億用戶的密碼以未加密明碼，儲存在公司內部伺服器，安全漏洞讓用戶隱私全攤在臉書員工面前。

法新社報導，臉書工程、安全和隱私部門副總裁甘納胡帝（Pedro Canahuati）在部落格文章說：「準確來說，這些密碼從未公諸於臉書之外的人士，我們至今也尚未發現有證據顯示，有內部人員濫用或不當取得密碼的行為。」

經營安全新聞網站KrebsOnSecurity.com作者克瑞布斯（Brian Krebs）最先披露這項消息，引述不具名臉書消息人士說法聲稱，最近的內部調查發現有6億臉書使用者帳戶密碼用明碼保存，超過2萬名內部員工都能搜到。

根據克瑞布斯，具體數字尚待釐清，但指出最早儲存的未加密用戶密碼可回溯至2012年。

英國廣播公司（BBC）報導，臉書對外評論表示，1月進行例行安全檢查就已經發現問題。

甘納胡帝說：「我們已經修補這些問題，為採取預防手段，也將通知所有我們發現被以此方式儲存密碼的用戶。」

公司調查指出，大部分受影響的是Facebook Lite使用者，主要為網路較不普及或網速緩慢的國家所用。

臉書告訴路透社：「我們預估將知會數以億計的Facebook Lite用戶、數以千萬計的其他臉書用戶和成千上萬Instagram用戶。」

總部位於加州的臉書估計擁有27億使用者，旗下業務為主要社群平台、Instagram和即時通訊軟體應用程式。

臉書密碼可被內部員工讀取 數億用戶受影響

Facebook（臉書）今天表示，今年1月發現部分用戶密碼以可讀格式儲存在臉書內部的數據儲存系統，影響臉書、Instagram共數億用戶，臉書已修復此問題並通知受影響用戶修改密碼。

臉書今天在官網說明1月的例行性安全檢查結果，並強調上述受影響用戶的密碼從未被臉書以外的人員看見，也沒有證據顯示臉書內部有任何人濫用或不當存取這些密碼。

臉書推估，受影響的用戶包括數億的FacebookLite用戶、數千萬的Facebook用戶，以及數萬的Instagram用戶，將通知這些用戶應該修改密碼。Facebook Lite是Facebook版本之一，主要用於網路連線較差的地區。

臉書也建議用戶採取一些措施來保護帳戶安全，例如別在不同的服務使用同一組密碼、選擇強度高且複雜的密碼組合，或是設定可從第三方應用程式取得驗證碼的雙重驗證功能。

Facebook被曝用明文存儲多達6億個帳戶密碼，數千員工可存取

美國當地時間週四，網路安全記者發布報告聲稱，Facebook在未加密的情況下儲存存儲了多達6億個使用者的帳戶密碼，並以明文的形式儲存，公司數萬名員工可以直妾接存取。

在Facebook的27億使用者中，6億使用者已經佔了相當大的比例。該公司週四表示，計劃開始通知受到影響的使用者，以便他們更改密碼。

Facebook在聲明中表示：「作為1月份例行安全審查的一部分，我們發現，有些使用者密碼在我們的內部資料儲存系統中以可讀的格式儲存。這引起了我們的注意，因為我們的登錄系統利用使密碼不可讀的技術來屏蔽密碼。我們已經解決了這些問題，但為了以防萬一，我們將通知所有收到影響的使用者。」

Facebook在部落格文章沒有說明有多少使用者受到了影響。據報導，這些事件最早可以追溯到2012年。記者援引Facebook軟體工程師史考特·倫佛羅(Scott Renfro)的話說，該公司尚未發現任何有關資料被濫用的情況，並不存在由此帶來的實際風險。

然而，由於多年來不斷爆發的隱私和安全醜聞，Facebook受到了嚴格的審查。這些醜聞引發了客戶的批評，以及多家管理機構尤其是歐盟(EU)的質詢和罰款。

但Facebook醜聞並未對該公司的日活躍使用者數量造成太大負面影響。儘管Facebook批評者在社群媒體上發起了一場持續運動，鼓勵注重隱私的客戶刪除他們的帳戶，但Facebook的活躍使用者數量在上個季度反而有所上升。

按照《一般資料保護規範》規定，Facebook的最新事件無疑將觸發審查，因為該條例要求相關公司在72小時內向受隱私洩露影響的人發布通知，並要求公司安全儲存密碼。對於如何準確定義「適當的安全等級」，這項法律有點含混不清，但歐盟委員會可能會認為，儲存在內部並可供大量員工使用的純文本密碼可能並不符合標準。

如果這一事件可以追溯到2012年，該公司可能還需要對這些密碼是如何被濫用的進行大量調查。儘管Facebook在其部落格文章中表示，他們到目前為止還沒有發現任何證據表明有人在內部濫用或不正當地訪問了這些密碼，但該公司將很難確定有內部存取權限的人離開公司後是否存在濫用密碼行為。

IG密碼可被員工讀取 臉書認影響用戶暴增數百萬

社群媒體臉書今天表示，有「數以百萬計」Instagram用戶的密碼以未加密形式儲存在公司內部伺服器，比原先預估人數還多。

法新社報導，臉書（Facebook）在部落格發文指出：「我們發現伺服器的紀錄上，有更多的Instagram用戶密碼是可被讀取的狀態。」

Instagram的母公司臉書上個月承認數億用戶的密碼以未加密明碼，被儲存到公司內部伺服器，還說有數以萬計Instagram用戶受影響。

如今密碼未加密儲存在公司伺服器的Instagram用戶數暴增。臉書表示：「我們會一視同仁通知這些用戶。我們至今也尚未發現有內部人員濫用或不當取得這些已儲存的密碼。」

臉書不當處理用戶個資一直是爭議延燒的火苗，去年爆出政治顧問公司「劍橋分析」（CambridgeAnalytica）在未經同意下，取得高達8700萬用戶的個資。

臉書宣布一系列加強個資管理的措施，包含取消大部分與外部公司合作的數據共享。