Facebook ได้ออกมาเผยว่าเมื่อเดือนมกราคม 2019 ที่ผ่านมา ทีมงานภายใน Facebook ได้มีการทำ Security Review และพบว่ามี Password ของผู้ใช้งานจำนวนหลายร้อยล้านรายการถูกเก็บเป็นแบบ Plain Text โดยมีพนักงานภายใน Facebook เท่านั้นที่สามารถเข้าถึงข้อมูลเหล่านี้ได้ ซึ่งปัจจุบันทาง Facebook ได้ดำเนินการแก้ไขปัญหาแล้วและมีแผนที่จะแจ้งเตือนลูกค้าผู้ใช้งาน ในขณะที่ KrebsOnSecurity ก็ได้ออกมาเปิดเผยข้อมูลเชิงลึกของเหตุครั้งนี้เพิ่มเติม
Facebook ระบุว่าปัญหานี้ถือว่าสร้างความประหลาดใจให้กับทีมงานมากเพราะระบบ Login ที่ออกแบบมานั้นจะทำการ Mask ข้อมูลในส่วนของ Password เอาไว้เพื่อไม่ให้พนักงานภายในเห็น Password ของจริง อย่างไรก็ดี ทาง Facebook เองก็มีแผนที่จะแจ้งเตือนผู้ใช้งาน Facebook Lite หลายร้อยคน, ผู้ใช้งาน Facebook รายอื่นๆ ีอกหลายสิบล้านคน และผู้ใช้งาน Instagram อีกหลายหมื่นคน
อย่างไรก็ดีรายละเอียดที่น่าสนใจมากขึ้นนั้นกลับถูกเปิดเผยโดย KrebsOnSecurity ว่าจากแหล่งข่าวที่ไม่ระบุตัวตนใน Facebook นั้นได้ออกมาเปิดเผยว่าปัญหาครั้งนี้เกิดขึ้นจากการที่พนักงานภายใน Facebook ทำการพัฒนา Application ที่มีการเก็บ Log ของ Password ที่ไม่ได้เข้ารหัสเอาไว้ในรูปแบบ Plain Text ภายนใน Server ของบริษัท ซึ่งผู้ที่ได้รับผลกระทบในครั้งนี้มีตั้งแต่ 200 – 600 ล้านราย โดย Password ของผู้ใช้งานเหล่านี้สามารถถูกเข้าถึงได้โดยพนักงาน Facebook มากกว่า 20,000 คน และ Password เหล่านี้ก็ถูกเก็บเป็น Plain Text มาตั้งแต่ปี 2012 แล้ว นอกจากนี้ จากข้อมูล Access Log ก็พบว่าพนักงาน Facebook กว่า 2,000 คนเองก็ได้ทำการ Query ข้อมูลที่มี Password เหล่านี้อยู่ด้วยไปแล้วมากกว่า 9 ล้านครั้ง
ทางด้าน Scott Renfro ผู้ดำรงตำแหน่ง Software Engineer ที่ Facebook นั้นก็ได้ออกมาเผยต่อ KrebsOnSecurity ว่า Facebook ยังไม่พบกรณีใดๆ ที่พนักงานตั้งใจเข้าไปค้นหาและเข้าถึง Password เหล่านี้โดยตรง รวมถึงยังไม่พบสัญญาณใดๆ ว่ามีการนำ Password เหล่านี้ไปใช้งานในทางที่ผิดด้วย
อ่านกรณีนี้จบแล้ว ใครทำ Application อะไรก็ไปตรวจกันดีๆ นะครับว่ามีข้อมูลสำคัญอะไรถูกเก็บอยู่ใน Log ของระบบกันบ้างหรือไม่
ที่มา: https://newsroom.fb.com/news/2019/03/keeping-passwords-secure/, https://krebsonsecurity.com/2019/03/facebook-stored-hundreds-of-millions-of-user-passwords-in-plain-text-for-years/