臉書說「不小心」蒐集了150萬用戶的郵件聯絡人

臉書被揭露2016年起在未經用戶同意下蒐集並上傳用戶電子郵件信箱的聯絡人資料。臉書說資料是不小心上傳到其平台，他們已經於上個月停止蒐集行為，且會刪除蒐集到聯絡人資料。臉書並更新三月間密碼以明碼儲存的IG用戶數，不是數萬而是數百萬。

Business Insider周四報導在追蹤另一案件時發現此事。今年三月代號為e-sushi的安全研究人員3月時發現，臉書要求新使用者輸入電子郵件信箱的密碼；臉書說，若想持續其服務，使用者必須驗證其郵件信箱並輸入密碼。這讓臉書可以自動登入用戶的郵件信箱。研究人員指出，這是很糟的主意，因為臉書「基本上是在竊取不應該知道的密碼」。此事也於3月由媒體The Daily Beast報導。

不過事情還沒結束。Business Insider在測試臉書上述行為時，發現到一旦用戶輸入密碼，臉書在未取得用戶同意前，就跳出一個訊息告知它正在「匯入」用戶聯絡人資料。重點是，用戶無法提前退出（opt out）、匯入途中也無法取消或中止。

在被媒體求證時，臉書坦承從2016年5月起，提供了一個以用戶電子郵件密碼驗證帳號，並且上傳聯絡人的選項。臉書估計，有150萬名臉書用戶的聯絡人資料「不小心」被上傳到臉書。臉書後來修改了這項功能，也刪除告知聯絡人上傳的訊息，但底層的運作則仍然持續。

這家社群平台稱，絕沒有藉此存取用戶的郵件內容，也未將聯絡人資料分享出去。至於總共有多少筆聯絡人電子郵件或個資因此被蒐集，臉書則不願說明。

或許是因為3月間被研究人員發現且被媒體報導，臉書說上個月就停止了以電子郵件密碼驗證的功能，也修復了「底層」問題。他們表示會將蒐集到的聯絡人資料刪除，也會通知被蒐集到資料的使用者。臉書用戶們也可以在其設定中，一覽並管理他們「分享給」臉書的聯絡人資料。

臉書資料有意或無意外洩的事件已經多到可用罄竹難書來形容。從去年劍橋分析外洩8700萬名用戶個資之後，9月間再發生一個存在一年多的更新影片上傳功能，有程式碼漏洞未修補，導致該公司史上最大規模資料外洩事件，至少5,000萬名臉書帳戶資訊恐遭駭客竊取。

3月間安全研究人員發現臉書要求用戶提供雙因素驗證（2 Factor Authentication，2FA）用的電話號碼，反而使用戶曝露在被其他人搜尋到的風險。

此外，同一個月內，臉書還被爆數億Facebook Lite用戶、數千萬臉書用戶及「數萬名」IG用戶密碼從2012年起就以明文儲存，且至少有數千名員工已經搜尋過。但臉書4月18日更新部落格指出，它之後發現明碼儲存的IG用戶密碼不是數萬筆，而是數百萬筆。臉書將追加通知這些用戶，同時強調並未被公司員工濫用或不當存取。