piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

Facebookが一部ユーザーのパスワードを平文記録していた問題についてまとめてみた

KrebsOnSecurityが関係筋からの情報として、一部のFacebookユーザーのパスワードが暗号化されずに社内のデータストレージに読取可能な方式(平文)で保管されていたセキュリティ上の問題が生じていたと明らかにしました。Facebookはその後、この問題に関する見解を公開しています。ここでは関連する情報をまとめます。

KrebsOnSecurityの記事

問題を明らかにしたBrian Krebs氏の記事。
krebsonsecurity.com

明らかになった問題(Krebs氏の記事より)

  • 一部のユーザーパスワードを平文で保存。
  • 保存されたデータに対して2万人以上のFacebook従業員が検索可能な状態だった。
  • アクセスログから平文パスワードを含むデータに対して約2000人のエンジニア/開発者のアクセスが判明。
  • 約900万の内部クエリが実行されていた。(悪用は確認されていない)

問題の発端

  • 2019年1月に実施された定期コードレビューでセキュリティエンジニアが確認した。

影響範囲

  • 影響を受けるユーザーへの警告を計画中。
  • Facebookは通知件数を以下のように見積っている。
Facebook Lite*1 数億人規模
Facebook 数千万人規模
Instagram 数万人規模
  • Krebs氏の記事によれば2億~6億件が影響を受けた。
  • これまでの調査で問題のデータは2012年までのアーカイブが確認されている。
  • Facebookは3月21日時点で影響範囲(数、期間など)を調査中。*2

現時点で悪用の兆候なし

  • 意図的にパスワード探査するような誤用などは確認されていない。
  • Facebook側は現時点で実害となるリスクはないという認識。
  • Scott Renfro氏によればこの問題によるパスワード再設定の必要はないと説明。
  • 悪用の兆候が見られた場合はパスワード変更を強制する方針。

問題の情報提供元

  • Krebs氏に対してFacebook上級社員が匿名を条件に付いて情報提供。
  • この社員は調査に関わっているが報道向けに話す権限を保有していなかった。

Facebook側の対応

2019年3月21日に問題に関する見解を公表
newsroom.fb.com

  • 確認された問題については解決済みと説明。
  • 問題のデータはFacebook外部の誰にも見られていない。
  • パスワード、およびアカウント保護のベストプラクティスを紹介。

更新履歴

  • 2019年3月22日 AM 新規作成

*1:Facebook Liteは新興国など通信環境が不安定な人向けを想定した軽量版のサービス

*2:Krebs氏の取材に対して回答の準備がまだできていないとコメントしている。