Meta工程师偷走3万张私照：你的"仅自己可见"可能只是幻觉

2025年11月，一名前Meta工程师在英国被捕。他写了一段脚本，绕过了公司内部的安全检查，从Facebook下载了3万张用户设为"私密"的照片。这些照片的主人至今不知道自己的隐私是如何被撕开的。

一个脚本，三年的信任崩塌

根据《卫报》披露的细节，这名工程师的作案手法相当"朴素"：他创建了一个自动化脚本，专门抓取Facebook用户的私人相册。Meta的内部审计系统没能识别出这种异常访问模式——或者说，识别得太晚了。

事件实际发生在2024年，但直到英国大都会警察局网络犯罪调查组介入，细节才被公开。Meta在发现后开除了该工程师，升级了安全系统，然后把案件移交给警方。受影响用户已收到通知，但通知内容是什么、是否说明了照片的具体用途，Meta没有对外透露。

最讽刺的部分在于：这名工程师的动机至今成谜。

是出售数据？个人收藏？还是某种更复杂的利益链条？Cybernews的追踪报道指出，连他是否将脚本代码分享给其他人，调查方都没有确认。这意味着那3万张私照的去向，可能永远是个黑箱。

"私密"按钮是真实的，但执行它的是人

Facebook的隐私设置界面设计得越来越复杂，从"公开"到"仅自己可见"有至少6个层级。但所有这些层级的终点，都是Meta的服务器。一旦数据落盘，物理访问权限就掌握在拥有数据库凭证的工程师手里。

这次事件暴露了一个被刻意模糊的事实：平台所谓的"隐私保护"，本质是信任一群你永远不会见面的人不作恶。

Meta的安全架构显然预设了"内部人员可信"的前提。那名工程师的脚本能够长期运行而不触发警报，说明系统缺乏针对内部人员的行为审计——或者审计规则太宽松，以至于批量下载3万张图片都不会触发风控。

对比之下，外部黑客攻击通常会触发多重警报，但内部员工的"合法"访问通道往往被默认为是安全的。这种设计逻辑在硅谷很普遍，代价却要用户来承担。

从Chrome无痕模式到Facebook私密相册：同一堂课

原文提到Chrome的"无痕模式"诉讼案，这是个精准的类比。那起诉讼揭露谷歌自己都在内部邮件里承认，无痕模式"并非真正私密"——你的ISP、雇主、访问的网站依然能追踪你。

Facebook的"私密"照片面临同样的语义陷阱。按钮上写的是"仅自己可见"，但技术实现上，是"仅自己和拥有数据库权限的Meta员工可见"。普通用户理解的"私密"和平台定义的"私密"，从来就不是同一个东西。

更麻烦的是，你很难验证平台的承诺。你不会知道是否有工程师在凌晨三点批量导出你的相册，就像你不会知道Chrome的无痕标签页背后有多少数据正在流向谷歌的分析系统。信任是唯一的选项，而这次事件证明，这个选项是有价格的。

用户能做什么？比想象中更少

事件曝光后，标准的"安全建议"又开始循环：启用双重验证、定期检查登录设备、谨慎分享敏感内容。但这些措施对内部威胁几乎无效——工程师不需要你的密码，他直接读取数据库。

唯一真正有效的防御，是不把不想公开的照片上传到任何中心化服务器。这听起来像极端的隐私偏执，但3万张私照的教训是：一旦上传，控制权就转移了。你可以删除帖子，但无法删除所有备份；你可以修改隐私设置，但无法撤销已经被导出的副本。

Meta的回应遵循了典型的危机公关剧本：开除、升级系统、配合调查、通知用户。但"升级安全系统"具体指什么？是否增加了内部人员的行为审计？是否限制了单个工程师能访问的数据范围？这些细节被笼统地埋在了新闻稿里。

那名工程师的保释期持续到2026年5月。在那之前，调查可能会披露更多细节，也可能不会。而3万名用户的私照，此刻正躺在某个未知的地方——或许已经被彻底删除，或许正在暗网流转，或许只是安静地存在某个硬盘里，等待下一个读取它的人。

你的Facebook相册里，最后一张设为"仅自己可见"的照片是什么？如果它明天出现在完全陌生的地方，你会首先怀疑谁？