米フェイスブックは2019年3月21日(米国時間)、数億人分のユーザーのパスワードを、社内のストレージにハッシュ化や暗号化などの処理を施さずに保存していたと発表した。19年1月の社内検査で発見したが、これまで発表していなかった。

ユーザーのパスワードを暗号化せずに保存していたことに関する発表
(出所:米フェイスブック)

 フェイスブックのセキュリティ規則ではユーザーのパスワードは、ユーザーごとに異なる文字列(ソルト)を加えた上で、「scrypt」アルゴリズムを使ってハッシュ化することになっていた。しかし発展途上国向けに提供している「Facebook Lite」を利用する数億人のユーザーのほか、通常の「Facebook」を利用する数千万人のユーザー、「Instagram」を利用する数千人のユーザーのパスワードを、ハッシュ化や暗号化などの処理を施さずに保存していた。

 この問題は著名セキュリティ研究者のブライアン・クレブス(Brian Krebs)氏が21日早朝に指摘していた。同氏がフェイスブック従業員から得た情報によれば、パスワードをハッシュ化せずに保存していたユーザーの数は2億~6億人に及ぶとする。またハッシュ化を怠っていた期間は2012年からのことで、その間にフェイスブック従業員が平文のパスワードを閲覧できる状態になっていたとする。

 フェイスブックは今回の発表で、この問題については既に対処済みで、パスワードが社外に流出した証拠は見つかっていないと説明している。