えぇ・・・
米セキュリティ情報サイトのKrebsOnSecurityは3月19日、Facebook社内で一部ユーザーのパスワードが平文で保存され、同社の従業員が検索できる状態になっていたことが分かったと伝えた。Facebookもこの事実を認め、問題を修正した上で、該当するユーザー全員に通知していることを明らかにした。
KrebsOnSecurityが匿名のFacebook幹部の話として伝えたところによると、暗号化されていないユーザーのパスワードを記録して、社内のサーバに平文で保存するアプリケーションを従業員が開発していたことが発覚し、深刻なセキュリティ事案として社内調査に乗り出した。
Faceookは2019年3月21日付の公式ブログで「データストレージシステムの一部で、ユーザーのパスワードが読める状態で保存されていたことが社内で発覚していた」と認めた。 平文で保存されていた可能性があるのはユーザー2億人~6億人のパスワードで、Facebookの従業員2万人あまりが検索できる状態だった。件数や期間については現在も調査中だが、これまでの調査では、パスワードが平文で保存されていたアーカイブは古いもので2012年にさかのぼるという。
従業員のアクセスログを調べたところ、約2000人の技術者や開発者が、およそ900万回にわたって、ユーザーの平文パスワードを含むデータ要素に対してクエリーをかけていたことが分かったという。
Facebookのソフトウェアエンジニア、スコット・レンフロ氏は、KrebsOnSecurityの取材に対し、問題のデータにアクセスした可能性のある従業員の数などは、現時点で公表できないとした上で、「誰かが意図的にパスワードを検索していたケースはこれまでのところ見つかっていない。このデータが悪用された形跡も見つからなかった。こうしたパスワードが手違いで記録されていたことは分かったが、そこから生じる実質的なリスクはない」と強調している。
Facebookは3月21日、公式ブログでこの問題について説明し、1月に実施した定期的なセキュリティ検査で、一部ユーザーのパスワードが人に読める形式で保存されていたことが分かったと報告した。
平文のパスワードが社外に流出したわけではないと同社は強調し、「誰かが意図的に悪用したり、不正にアクセスした形跡も見つかっていない」と説明。通知の対象とするユーザーの数は、「Facebook Liteのユーザー数億人、Facebookのユーザー数千万人、Instagramユーザー数万人」としている。
関連リンク
情報源:Facebook、ユーザー数億人のパスワードを社内サーバに平文で保存(ITmedia エンタープライズ) – Yahoo!ニュース(コメント)
情報源:Facebook、ユーザー数億人のパスワードを社内サーバに平文で保存 – ITmedia NEWS
はぁ・・・
