Facebook、数億人分のユーザーパスワードを数年間可読状態で保存と発表

bero曰く、　Kreb on Securityが匿名の関係者からの情報として、Facebookが一部ユーザーのパスワードを暗号化せずに保存しており、さらにこれらのパスワードには多数のFacebook従業員がアクセスできたことを伝えている。Facebookはこれについて事実と認めたとのこと（ITmedia、Slashdot）。

　これら報道によると、Facebookでは大半のパスワードをハッシュ化して保存しているが、一部で平文パスワードが記録されていたという。この問題は2012年から始まっており、またそのデータは2万人以上の従業員が検索できたという。実際、アクセスログを確認したところ約2000人がプレーンテキストのパスワードを含むデータに対し約900万回のクエリを実行していたという。

　バスワードのハッシュ化は常識であり、それを知らなかったとはさすがに思えないので、おそらくデバックかユーザビリティ調査のために入力を全部ログとってて、そこにパスワードも含まれる、とかじゃなかろうか。

　スラドのコメントを読む | セキュリティセクション | セキュリティ | Facebook

　関連ストーリー：
フリー開発者に登録フォームを作成させたところ半分以上がパスワードをハッシュ化しなかったという研究結果 2019年03月11日
Google、ユーザー名とパスワードの流出を通知するChrome拡張機能を公開 2019年02月09日
電話番号の流出はパスワード流出よりもタチが悪いかもしれない 2018年08月29日
Twitter、パスワードが平文でログに記録されていたことを発見、全ユーザーにパスワードの変更を促す 2018年05月04日