Facebookが数億人のユーザーのパスワードを長年にわたり平文で保存していたことが明らかになった。数千人の従業員がパスワードを検索する可能性がある。

2012年から保存されたプレーンテキストパスワード

この問題は、同社のセキュリティレビュー中に発生した。KrebsOnSecurityは木曜日に次のように報じた。

Facebookは、従業員がFacebookユーザーの暗号化されていないパスワードデータを記録し、それを社内サーバーにプレーンテキストで保存するアプリケーションを構築した一連のセキュリティ上の失敗を調査している。

ソーシャルメディア大手Facebookの情報筋によると、調査の結果、これまでに2億～6億人のユーザーのパスワードがテキスト形式で保存されていたことが判明した。データは2012年まで遡り、2万人以上のFacebook従業員が検索可能だった。実際、約2,000人のエンジニアと開発者が、平文で保存されたパスワードを含む記録について、約900万件の問い合わせを行った。

Facebookのソフトウェアエンジニアは、エンジニアが意図的にパスワードを探していたという証拠は確認されていないと述べた。さらに、同社は「データの不正使用の兆候は見つかっていない」と述べた。

反応

Facebookは声明の中で、「一部のユーザーのパスワードが社内データストレージシステム内に読み取り可能な形式で保存されていたことが判明した」ことを認めた。同社は、この発見は2019年1月に実施された定期的なセキュリティレビュー中に発生したと述べている。しかし、同社は「これらのパスワードはFacebook社外の誰にも閲覧されたことはなかった」と主張している。

同社はさらに、「現在までに、内部で誰かが不正に利用したり、不適切にアクセスしたりしたという証拠は見つかっていない」と付け加えた。同社は以前、「数億人のFacebook Lightユーザー、数千万人の他のFacebookユーザー、そして数万人のInstagramユーザー」に通知すると述べていた。