投資および株式取引アプリRobinhoodは最近、パスワードなどのユーザー認証情報をプレーンテキストで保存していたことを認めた（TechCrunch経由）。

プレーンテキストパスワード

Robinhoodは、システム内でパスワードを発見したものの、「当社の対応チーム以外の誰かがアクセスした」という証拠は見つからなかったと述べている。しかし、理想的には、パスワードは従業員からも保護されるべきである。この事件について顧客に通知するメールには、次のように書かれている。

Robinhoodアカウントのパスワードを設定する際、社内の誰にもパスワードが読み取られないよう業界標準のプロセスを採用しています。月曜日の夜、一部のユーザー認証情報が社内システム内に読み取り可能な形式で保存されていることが判明しました。お客様のRobinhoodパスワードが保存されていた可能性があることをお知らせいたします。

この問題は解決し、徹底的な調査の結果、当社の対応チーム以外がこの情報にアクセスした形跡は見つかりませんでした。念のため、Robinhoodのパスワードを変更することを引き続きお勧めします。

私たちはこのような問題を真剣に受け止めています。お客様の信頼を獲得し維持することが私たちの最優先事項であり、お客様の情報の保護に尽力しています。ご質問がございましたら、お気軽にお問い合わせください。

Robinhoodが「プレーンテキスト」を業界標準だとは思っていないことを祈ります。しかし、Devin Coldewey氏が指摘するように、Google、Facebook、Twitterなどの企業が同様の行為で摘発されたことを考えると、もはや標準と言えるかもしれません。

[ G Suite のパスワードは 2005 年以降平文で保存されています]

[ Facebook のパスワード数億件が何年もの間、プレーンテキストで保存されていた]