Facebook sloeg honderden miljoenen wachtwoorden van gebruikers slecht beveiligd op. De wachtwoorden stonden als normale tekst in het systeem en waren doorzoekbaar voor duizenden werknemers van het bedrijf. Dat ontdekte KrebsOnSecurity.
Wachtwoorden worden vaak beveiligd opgeslagen. Dit gebeurt aan de hand van een zogenaamde ‘hash’: het wachtwoord wordt omgezet in een reeks tekens en zo opgeslagen in een database. Probeer je dan in te loggen, dan wordt het wachtwoord van je invoert ook in zo’n reeks tekens omgezet. Komt die reeks overeen met de hash in de database, dan klopt je wachtwoord en kun je inloggen.
In het geval van Facebook werd dat dus niet gedaan. Volgens een bron van KrebsOnSecurity werden wachtwoorden van tussen de 200 en 600 miljoen gebruikers onbeveiligd opgeslagen en waren die doorzoekbaar voor ruim 20.000 werknemers van het sociale medium. En dit was voor sommige gebruikers zelfs al het geval sinds 2012.
Facebook heeft tegenover de website gezegd dat het naar verwachting “honderden miljoenen Facebook Lite-gebruikers, tientallen miljoenen andere Facebook-gebruikers en tienduizenden Instagram-gebruikers” op de hoogte gaat stellen. Lite is overigens een versie van het sociale medium ontworpen voor slechtere verbindingen en minder goede telefoons.
Reactie
Het sociale medium heeft inmiddels zelf ook een verklaring geplaatst op zijn website. Het bedrijf stelt dat het het probleem in januari ontdekte tijdens een beveiligingsonderzoek. Het probleem zou opgelost zijn en iedereen die getroffen, en alle getroffen gebruikers worden op de hoogte gesteld.
Verder zou er geen bewijs zijn dat de wachtwoorden buiten het bedrijf terecht zijn gekomen of dat ze intern misbruikt waren. Daardoor vereist het medium niet van gebruikers om hun wachtwoord te veranderen. KrebsOnSecurity stelt echter dat 2.000 werknemers de wachtwoorden wel doorzocht hebben, al is niet duidelijk waarom dat precies is.