Facebook、数億人分のユーザーパスワードを数年間可読状態で保存と発表
2019年3月25日 21:56
bero曰く、 Kreb on Securityが匿名の関係者からの情報として、Facebookが一部ユーザーのパスワードを暗号化せずに保存しており、さらにこれらのパスワードには多数のFacebook従業員がアクセスできたことを伝えている。Facebookはこれについて事実と認めたとのこと(ITmedia、Slashdot)。
これら報道によると、Facebookでは大半のパスワードをハッシュ化して保存しているが、一部で平文パスワードが記録されていたという。この問題は2012年から始まっており、またそのデータは2万人以上の従業員が検索できたという。実際、アクセスログを確認したところ約2000人がプレーンテキストのパスワードを含むデータに対し約900万回のクエリを実行していたという。
バスワードのハッシュ化は常識であり、それを知らなかったとはさすがに思えないので、おそらくデバックかユーザビリティ調査のために入力を全部ログとってて、そこにパスワードも含まれる、とかじゃなかろうか。