FB、社内でパスワード閲覧可能 インスタも、最大6億人分か
コメント
注目のコメント
事実を整理しましょう。
FBはパスワードをソルト付きハッシュできちんと管理しています。
今回やり玉に挙げられているのはWEBトラフィックのログに平文のユーザー認証情報が入っており、それらのログは一部の職員がアクセス権限があり閲覧可能な状況にあったということではないでしょうか。
であれば「FBはパスワードを平分で保存している!!」という主張は少し趣旨がずれるかと思います。
とはいえおそまつな実装であったことには違いありません。
どこか一箇所にでも平文が残っていたら暗号化の意味がありません。
場合によってはソルトが逆計算できますからね。
https://newsroom.fb.com/news/2019/03/keeping-passwords-secure/プライバシーの面、最悪の会社ってのは分かっていましたが、少なくともセキュリティはちゃんとやっているかと思いました。
規模は規模で管理が大変だろうが、平文でパスワードを保管するのはショックです。なぜこうなったかが知りたいです。
因みに、Facebook社にCSOが退職してから233日間経ちました。現在、誰も居ません。
その中で、メッセージアプリ統合の話が出てきていますが、このようなニュースを見ると恐ろしすぎます。
【追加!】
煽る記事にまたやられましたわ。
下記セキュリティ専門家によると、Facebookはちゃんとhashとsaltを使用しています。
問題は、平文のパスワードを含めるウェブリクエストをログで記録していたそうです。
もちろんよろしくありませんが、大規模のサービスにあるある問題です。
https://twitter.com/ErrataRob/status/1108777565853020161?s=20
コメントをする前にちゃんと調べるようにします!わりぃわりぃ!外部メディアの報道を受けてフェイスブックが声明を出す。またまた後手に回ってしまった。
言い訳がまた苦しい。「パスワードは外部からは閲覧できなかったし、悪用されたり、不適切なアクセスがあったりした証拠も現時点では確認していない。」
情報漏洩は不正の多くは、外部からではなく、内部(従業員や契約会社)の犯行のである。あまりにも杜撰な情報管理に唖然!
ちょうどこのタイミングで、アップルはプライバシーをテーマにした広告をスタート。フェイスブックの杜撰さが際立つ結果となりました。
