Facebookで何が起きたのか
2019年、Facebookはユーザーのパスワードが暗号化されず保存されていた問題を公表しました。
対象は数億人規模で、最大で約6億ユーザーに影響があったとされています。
数億人分のパスワードが平文で保存されていたと報告されています。
ハッキングではないという事実
この問題は外部からの攻撃ではありません。内部の設計ミスによるものです。
- パスワードを暗号化せず保存
- ログとしてそのまま出力
- 長期間発見されなかった
なぜ問題になるのか
パスワードがそのまま読める状態ということは、内部の人間が閲覧できる可能性があるということです。
- 内部からの不正利用
- アカウント乗っ取り
- 他サービスへの不正ログイン
見落としやすいポイント
- ログに個人情報が出力されている
- 開発時の設定が本番に残っている
- 暗号化しているつもりになっている
今すぐできる対策
- パスワードはハッシュ化して保存する
- ログに個人情報を出さない
- 不要なデータは保持しない
まず確認すべきこと
自分のサービスで、パスワードや個人情報がどのように扱われているかを確認することが重要です。
Web検診では、ログ出力やパスワード管理などのリスクを無料でチェックできます。
出典
Facebook公式発表: https://about.fb.com/news/2019/03/keeping-passwords-secure/
Krebs on Security: https://krebsonsecurity.com/2019/03/facebook-stored-hundreds-of-millions-of-user-passwords-in-plain-text/
BBC News: https://www.bbc.com/news/technology-47691516