6亿Facebook用户密码以明文存储可被员工读取，现已修复

南都讯 记者蒋琳 剑桥分析事件发生一年之际，Facebook又双叒叕被曝出数据丑闻——据统计，2亿至6亿个Facebook和Instagram用户的密码在公司内部以明文存储，且已被上千个Facebook员工搜索过，最早可以追溯到2012年。

Facebook工程、安全和隐私部副总裁Pedro Canahuatiy对此回应称，他们在一月份的例行安全审查中发现了这一情况，现已修复并将通知受影响的用户。但他强调，没有证据表明这些密码曾被滥用或被公司以外的人访问过。

2~6亿用户密码未加密，被查询900万次

当地时间21日，安全调查记者Brian Krebs在自己的网站上公布了一份调查报告，称数以亿计的Facebook用户的账户密码在公司内部以纯文本形式存储，并可被数千名内部员工搜索，某些情况下甚至可以追溯到2012年。

这个消息来自一位Facebook熟悉该事件的高级别员工。他对Krebs表示，Facebook的调查显示，有2亿到6亿Facebook用户的账户密码可能以纯文本形式存储；据访问日志显示，大约两千名Facebook工程师或开发人员对这些数据进行了约900万次内部查询。

Krebs随后向Facebook求证。Facebook软件工程师Scott Renfro说，公司还不方便透露有多少内部员工访问了这些密码等具体数字，不过Facebook已经计划通知受影响的用户。

我们为这次事件成立了一个小型工作组，以确保我们对可能存在问题的地方进行了广泛的审查”，Renfro说，为了防止这种情况再次发生，他们正在调查公司内部长期以来的基础设施变化，比如审查日志，查看是否存在数据滥用或未授权访问等情况。

Facebook声明：将通知受影响用户但无需改密码

随后，Facebook工程、安全和隐私部副总裁Pedro Canahuatiy就此事发布了声明。

Canahuatiy提到，他们在一月的一次例行安全审查中发现，有些用户的账户密码被存储为了可读格式，而Facebook一贯采用加密格式存储。据统计，共有上亿Facebook精简版（Facebook的版本之一，供网络连接较差的地区使用）用户、上千万Facebook用户、上万Instagram用户在此次事件中受到影响。

他还强调，这些密码对任何Facebook的外部人员不可见，并且他们没有发现员工有滥用或不当访问的情况。目前这个问题已经完全得到解决，他们将一一通知受到影响的用户。

这些受到影响的用户是否需要修改密码？Facebook的回应是，不用。

Renfro解释说，他们没有发现任何冲着密码而来的访问行为，所以这方面的风险并不存在。我们想要在做出修改密码的决定前有所保留，除非真的发现了数据被滥用的确切证据。”

隐私护卫队了解到，过去一年，Facebook频频因数据泄露、数据滥用、系统漏洞出现在人们视野中。仅2024年，Facebook就已经被曝出旗下 VPN 应用程序绕过苹果应用商店审核、收集用户数据被撤销开发者证书，以及多个App会偷偷”与Facebook共享用户的个人敏感信息等丑闻。