เฟซบุ๊กพบผู้ใช้บางส่วนถูกเก็บรหัสผ่านแบบไม่เข้ารหัส พนักงานสามารถเข้าไปดูได้ กระทบทั้งเฟซบุ๊กและอินสตาแกรมรวมนับร้อยล้านบัญชี

2019-03-22

เฟซบุ๊กรายงานว่าจากการตรวจสอบระบบภายใน พบว่ามีผู้ใช้บางส่วนถูกเก็บรหัสผ่านโดยไม่เข้ารหัส ทั้งที่ปกติควรจะแฮชรหัสผ่านเสมอ

เฟซบุ๊กยืนยันว่าปกติแล้วรหัสผ่านจะถูกแฮชด้วยกระบวนการ scrypt พร้อมกับการเติมอักขระ salt เพื่อเพิ่มความปลอดภัย อย่างไรก็ดีรายงานไม่ได้บอกว่าทำไมจึงมีระบบที่เก็บรหัสผ่านโดยไม่ได้แฮช

แหล่งข่าวไม่ระบุตัวตนบอกกับเว็บ Krebs on Security ระบุว่าระบบที่มีปัญหาเป็นการแอปพลิเคชั่นภายในที่ log เอารหัสผ่านเข้าไปด้วย โดยแอปพลิเคชั่นนี้พนักงานของเฟซบุ๊กกว่า 20,000 คนสามารถเข้าไปค้นข้อมูลได้ และจากการตรวจสอบมีพนักงานประมาณ 2,000 คนที่ขอข้อมูลจากระบบนี้และได้รับรหัสผ่านไป โดยจำนวนบัญชีที่ได้รับผลกระทบทั้งหมดอยู่ระหว่าง 200 ถึง 600 ล้านบัญชี

เฟซบุ๊กยืนยันว่าไม่พบการเข้าถึงข้อมูลรหัสผ่านเหล่านี้อย่างจงใจนำไปใช้ในทางที่ผิด แต่ผู้ใช้ที่ได้รับผลกระทบทั้งหมดจะได้รับการแจ้งเตือน

Scott Renfro วิศวกรของเฟซบุ๊กระบุกับ Krebs On Security ว่าจากเหตุการณ์นี้ทางบริษัทได้ตั้งทีมงานขึ้นมาตรวจสอบความผิดพลาดแบบเดียวกันว่าจะเกิดขึ้นที่อื่นอีกหรือไม่

ที่มา – Facebook, Krebs on Security

No Description

Topics: