脸书说“不小心”搜集了150万用户的邮件联络人

脸书被揭露2016年起在未经用户同意下搜集并上传用户电子邮件信箱的联络人资料。脸书说资料是不小心上传到其平台，他们已经于上个月停止搜集行为，且会删除搜集到联络人资料。脸书并更新三月间密码以明码储存的IG用户数，不是数万而是数百万。

Business Insider周四报导在追踪另一案件时发现此事。今年三月代号为e-sushi的安全研究人员3月时发现，脸书要求新使用者输入电子邮件信箱的密码；脸书说，若想持续其服务，使用者必须验证其邮件信箱并输入密码。这让脸书可以自动登入用户的邮件信箱。研究人员指出，这是很糟的主意，因为脸书“基本上是在窃取不应该知道的密码”。此事也于3月由媒体The Daily Beast报导。

不过事情还没结束。Business Insider在测试脸书上述行为时，发现到一旦用户输入密码，脸书在未取得用户同意前，就跳出一个讯息告知它正在“汇入”用户联络人资料。重点是，用户无法提前退出（opt out）、汇入途中也无法取消或中止。

在被媒体求证时，脸书坦承从2016年5月起，提供了一个以用户电子邮件密码验证账号，并且上传联络人的选项。脸书估计，有150万名脸书用户的联络人资料“不小心”被上传到脸书。脸书后来修改了这项功能，也删除告知联络人上传的讯息，但底层的运作则仍然持续。

这家社群平台称，绝没有借此存取用户的邮件内容，也未将联络人资料分享出去。至于总共有多少笔联络人电子邮件或个资因此被搜集，脸书则不愿说明。

或许是因为3月间被研究人员发现且被媒体报导，脸书说上个月就停止了以电子邮件密码验证的功能，也修复了“底层”问题。他们表示会将搜集到的联络人资料删除，也会通知被搜集到资料的使用者。脸书用户们也可以在其设定中，一览并管理他们“分享给”脸书的联络人资料。

脸书资料有意或无意外泄的事件已经多到可用罄竹难书来形容。从去年剑桥分析外泄8700万名用户个资之后，9月间再发生一个存在一年多的更新影片上传功能，有程式码漏洞未修补，导致该公司史上最大规模资料外泄事件，至少5,000万名脸书账户资讯恐遭骇客窃取。

3月间安全研究人员发现脸书要求用户提供双因素验证（2 Factor Authentication，2FA）用的电话号码，反而使用户曝露在被其他人搜寻到的风险。

此外，同一个月内，脸书还被爆数亿Facebook Lite用户、数千万脸书用户及“数万名”IG用户密码从2012年起就以明文储存，且至少有数千名员工已经搜寻过。但脸书4月18日更新部落格指出，它之后发现明码储存的IG用户密码不是数万笔，而是数百万笔。脸书将追加通知这些用户，同时强调并未被公司员工滥用或不当存取。