2019年03月22日 10時07分 セキュリティ

Facebookが数億件分のパスワードを暗号化しないままサーバーに保存していたことが明らかに



セキュリティ研究者のBrian Krebs氏が、自身のブログ上で「Facebookは数億件分のアカウントパスワードを平文のままサーバー上に保存している」と報じました。サーバー上のデータには少なくとも2万人以上のFacebook従業員がアクセス可能となっており、アクセスログによると約2000人のエンジニアが情報にアクセスした可能性があるそうです。なお、Facebookはこの事実を認めています。



Facebook Stored Hundreds of Millions of User Passwords in Plain Text for Years — Krebs on Security

https://krebsonsecurity.com/2019/03/facebook-stored-hundreds-of-millions-of-user-passwords-in-plain-text-for-years/





Facebook admits it stored ‘hundreds of millions’ of account passwords in plaintext | TechCrunch

https://techcrunch.com/2019/03/21/facebook-plaintext-passwords/



Facebookはユーザーアカウント何億件分ものパスワード情報を暗号化していない平文のまま保存し、そのデータを何千人ものFacebook従業員が検索できるようにしていたことが明らかになっています。Facebookはこの事実を認めていますが、独自に調査を行ったところ「従業員がパスワード情報を悪用した痕跡は見当たらない」としています。





報道によると、Facebook従業員がユーザーアカウントのパスワード情報をログに記録し、そのデータを社内のサーバー上に平文のまま保存するというアプリケーションを構築していた模様。Facebookも独自にこの件について調査を進めており、この調査に精通した匿名のFacebook上級社員が、Krebs氏に発生した事案の詳細を語っています。



情報筋によると、平文のままパスワードを保存されていたユーザーの数は2億～6億人ほどと推測されており、少なくとも2万人以上のFacebook従業員がパスワード情報を検索可能な状態にあったとのこと。Facebookは詳細について調査中ですが、記事作成時点では2012年にはすでに平文でパスワードが保存されていたことが明らかになっています。また、平文のままパスワードを保存していたアプリケーションのアクセスログには、ユーザーパスワードを含むデータ要素に対して、約2000人ものエンジニアや開発者が、約900万回の内部クエリを実行したことが記録されています。



by Con Karampelas



Krebs氏はFacebookのソフトウェアエンジニアであるScott Renfro氏にインタビューを実施。その中でRenfro氏はデータにアクセスした可能性のあるFacebook従業員の数などの、特定の数字については話す準備ができていないと語っています。Renfro氏によると、Facebookはセキュリティ侵害の可能性のあるユーザーに警告することを計画しているそうですが、パスワードを再設定する必要はないとのことです。



「誰かが意図的にパスワードを検索していたという痕跡は、これまでの調査の中では見つかっておらず、データが誤用された兆候もありません。我々が発見したのはパスワードが誤ってログに記録されていたということですが、この事実により生じるリスクは存在しないと考えています。確実に悪用されたという兆候が発見された場合にのみ、パスワードの変更をお願いします」とRenfro氏は述べています。なお、FacebookはKerbs氏の運営するセキュリティメディア・Krebs on Securityに対して、「Facebook Liteユーザー数億人、他のFacebookユーザー数千万人、Instagramユーザー数万人」にパスワードの変更を促す通知を送付すると説明しています。



Renfro氏によると、パスワードが平文のまま保存されていることに気づいたのは2019年1月で、新しいコードをチェックしていたセキュリティエンジニアが問題を発見したそうです。Renfro氏は「これによりチームは問題が発生している可能性のある場所を広範囲にチェックすべく、小さなタスクフォースを立ち上げることとなりました。問題を軽減するための一連の管理策が整い、問題を防ぐための長期的なインフラストラクチャーの変更について調査を進めています。データの不正使用またはその他のアクセスがあったかどうかを確認するべく、必要なログを確認しています」とも述べています。

