米Facebookは3月21日 (現地時間)、数億ユーザーのパスワードを暗号処理せずに保管していたことを明らかにした。同社内部のデータストレージシステムに保存され、内部では閲覧や検索が可能な状態になっていたが、社外への流出や不正使用の形跡はないとしている。

閲覧可能になっていたのは、数億人規模のFacebook Liteアカウント、数千万人規模のFacebookアカウント、数万人規模のInstagramアカウントのユーザーパスワード。Facebookはsaltを使用したパスワードをhash化して、誰も閲覧できない状態でユーザーパスワードを保管しているが、そうした措置がとられていない状態のデータが残されていた。

問題はすでに修正済みで、パスワードが閲覧可能状態にあったアカウントの全てのユーザーに通知するという。不正アクセスなどの形跡は確認されていないが、「パスワード変更」、「複雑なパスワードの使用」、「二段階認証の利用」によるアカウント保護の強化を勧めると共に、セキュリティ強化のステップを説明する「Facebookのセキュリティ 」ページを紹介している。

Facebookは「Keeping Passwords Secure 」という文書を3月21日に公開して、ユーザーパスワード保管の過失を報告した。問題は、1月の定期点検で見つけたという。しかしながら、Facebookが問題を公表した同じ日に、KrebsOnSecurityがFacebookのずさんなパスワード管理を指摘するブログ記事を公開 している。それによると、暗号処理を施していない保存は2012年から起こっており、2億~6億人分のパスワードがプレーンテキストで保管されていた。それらには20,000人以上のFacebook社員がアクセス可能で、約2,000人のエンジニアまたは開発者がユーザーパスワードを含むデータ要素の検索を行っていた。KrebsOnSecurityは、それらの情報をシニアレベルのFacebook社員から得ており、同社のブログ記事公開がFacebookに情報公開を促した可能性がある。

米大統領選におけるフェイクニュース拡散、昨年明らかになった外部のコンサルティング企業を通じたユーザーデータの流出など、ユーザーから収集した情報の取り扱いで強く批判され続けているFacebookは、3月初めに「プライバシー重視のプラットフォーム」へと方針転換することを発表している。