またまたやらかし!
Facebook(Facebook)は数億件のパスワードを平文のまま何年も保存していたことを認めました。これは先に発表されたサイバーセキュリティ専門家のBrain Krebs氏のレポートを認める形で、Facebook公式ニュースブログで事実だと公表されました。パスワードはFacebook従業員2万人以上が閲覧できるようになっていたとのことです。
「数億人のFacebook Liteユーザー、数千万人のFacebookユーザー、そして数万人のInstagramユーザーのみなさんにパスワード変更のお知らせをすることになると概算しています」とFacebookは発表しています。
Facebook’s “newsroom”, which is not a newsroom, publishes a piece titled “Keeping Passwords Secure” about how it failed to keep passwords secure https://t.co/0rTTCExU7X
— Jon Swaine (@jonswaine) March 21, 2019
Guardian USのJon Swaineレポーターは『Facebookのnewsroomの役目を果たしていない「newsroom」というサイトに、「パスワードを安全に守る」というタイトルで、パスワードを守れなかった理由について書いている』と皮肉たっぷりのツイートをしています。
普通に読めてしまう平文状態で、パスワードが保存されはじめたのは2012年ごろからだとKrebs氏は分析しています。
Facebookの発表によると「私たちのログインシステムではパスワードを読解できないようにマスクされているが、これが今回気づくきっかけとなった」とのこと。しかしどうしてこのような事態になったのかについては言及されていません。過去にTwitterやGitHubでも同じようなことが起こった事例があります。
「これまでの調査では誰かが意図的にパスワードにアクセスしたり不正に使用したという証拠は見つかっていません。パスワードが誤ってログに記録されてしまっていることがわかりましたが、そのことによるリスクはありません。パスワードが不正に使用されたことが認められた場合のみ、ユーザーにパスワードの変更をお願いする予定でいます」とFacebookエンジニアScott Renfro氏は話しています。
2018年にはFacebookユーザー5000万人の情報が流出するスキャンダルもあって、今回のパスワード平文保存ときたら、もう本当にうんざりですよね。今の所、不正に利用された形跡はないとの発表ですが、一体どうして7年ものあいだ、誰でも読める状態で保存がされていたのか、しっかり説明してほしいですね。
パスワードを預けているFacebook自体がパスワードを守ってくれないのなら、自分でなんとかするしかありません。とにかく簡単には覚えられないパスワードを生成するとか、二段階認証を使うとかで自分を守ってくださいね。あとはハックされたり、知らないログインがないかこちらでチェックしてみてください。