Flera Facebook-applikationer har av misstag lagrat användares lösenord i klartext. Någonstans mellan 200 och 600 miljoner lösenord lagrades utan någon form av kryptering.
När de allra flesta onlinekonton skapas lagras lösenorden i en krypterad form. Detta för att ingen ska kunna se vad för lösenord användare väljer att skydda sin konton med. Det verkar dock som att någon hos Facebook sovit under lektionen då just denna detalj lärdes ut.
Tack vare en säkerhetsmiss under utvecklingen av flera applikationer relaterade till plattformen har ingen kryptering applicerats till användares lösenord och dessa har lagrats i klartext. Medans företagets servrar är skyddade från hot utifrån är det omkring 20 000 anställda som kunnat se och söka på mellan 200 och 600 miljoner lösenord.
En anonym källa med information inifrån Facebooks organisation hävdar till KrebsOnSecurity att åldern på de applikationer som inte krypterat lösenord sträcker sig så långt bak som år 2012. Källan hävdar även att omkring 2 000 utvecklare, ingenjörer och andra anställda plockat data från de servrar där lösenorden lagrat omkring nio miljoner gånger under de senaste sju åren.
En god nyhet är att Facebook i sig inte tror att någon medvetet letat efter lösenord från servern. Facebook nämner även hur företaget inte anser att användare bör ändra sina lösenord på grund av vad som sägs vara en mindre säkerhetsrisk. Däremot planerar företaget att kontakta flera hundra miljoner Facebook Lite-användare, tiotals miljoner andra Facebook-användare och tiotusentals Instagram-användare.
Företaget har publicerat ett officiellt uttalande angående dessa icke-krypterade lösenord som under sju år funnits tillgängliga i klartext.
Leave a Reply