Facebook、数億人分のパスワードを平文で保存 2万人以上の従業員が検索可能な状態に

米FacebookのNewsroom該当記事より

　米Facebookは3月21日、数億人分のユーザーのパスワードを判読可能な状態で社内のデータストレージシステム内に保存していたことを明らかにした。同社が1月に実施した社内調査により発覚し、修正を行った上で該当するユーザーへ通知しているという。

　この問題について報じた米国のセキュリティ情報サイト「KrebsonSecurity」によると、Facebookでは約2億～6億人分のパスワードが平文で保存されており、2万人以上の従業員が検索可能な状態になっていたという。

　データは2012年から登録されていたものが含まれており、約2000人のエンジニアやデベロッパーが、これらのデータに対して約900万回のクエリを実行していることが分かった。これは、Facebookの匿名の社員からの情報提供により判明した。

　Facebookによると、パスワードは社外から閲覧できる状態ではなく、現時点で不正使用および不正アクセスの証拠は確認されていないという。社内調査の過程でアクセストークンなど、他のカテゴリーの情報の保管方法についても調査を行い、見つかった問題については修正を行ったとしている。

　なお、通知対象となるユーザーは、Facebook Liteが数億人、Facebookが数千万人、Instagramが数万人。

　セキュリティ対策として、同社では以下の対策を紹介している。

• 他のサービスと同じパスワードの使い回しを避けること
• パスワードマネージャーアプリなどを使い、強力で複雑なパスワードを設定すること
• セキュリティキーの追加およびサードパーティー製の認証アプリのSMSや、コードを使った二段階認証によるアカウントの保護