Pracownicy Facebooka mogli mieć dostęp do setek milionów haseł użytkowników, które były nieprawidłowo przechowywane w niezabezpieczonym formacie tekstowym - poinformował w czwartek koncern na swoim blogu i zapowiedział działania w tej sprawie.
Facebook podał, że wiadomość o możliwym naruszeniu prywatności będzie musiał rozesłać do "setek milionów" użytkowników aplikacji Facebook Lite (okrojona wersja Facebooka na starsze smartfony - red.), "dziesiątek milionów" pozostałych osób korzystających z serwisu oraz "dziesiątek tysięcy" użytkowników należącego do firmy Instagrama.
Niewłaściwe przechowywanie haseł
Według wiceprezesa firmy ds. inżynierii, bezpieczeństwa i prywatności Pedra Canahuatiego "żadne hasła nie zostały narażone na wyciek zewnętrzny". Firma nie znalazła również "żadnych dowodów na ich niewłaściwe wykorzystanie". Canahuati poinformował również, że problem niewłaściwego przechowywania haseł został już rozwiązany, a firma dowiedziała się o nim w styczniu tego roku podczas rutynowego audytu bezpieczeństwa.
Jak stwierdził przedstawiciel koncernu, system logowania Facebooka jest zaprojektowany tak, by maskować hasła. Podczas przeprowadzanego w styczniu audytu firma sprawdzała, w jaki sposób przechowywane są informacje w jej strukturach, a wykryte problemy były usuwane zaraz po ich zdiagnozowaniu - oświadczył Canahuati.
Informacje o sprawie jako pierwszy podał Brian Krebs na swojej stronie internetowej, powołując się na źródła w Facebooku. Zdaniem badacza sprawa dotyczy od 200 do 600 milionów użytkowników i mogła mieć początek w 2012 roku.
W rozmowie z portalem KrebsOnSecurity inżynier oprogramowania Facebooka Scott Renfro powiedział, ze firma nie jest gotowa na rozmowy o konkretnych liczbach – w tym o liczbie pracowników, którzy mogli mieć dostęp do danych.
Renfro dodał, że korporacja ostrzeże użytkowników, których dotknęły te nieprawidłowości. Według niego zresetowanie haseł nie będzie konieczne.
- Dotychczas nie dowiedzieliśmy się o żadnych przypadkach, w których ktoś celowo szukał haseł, a nie znaleźliśmy oznak niewłaściwego wykorzystania tych danych – dodał.
Autor: mp / Źródło: PAP, Krebs on Security