Паролі багатьох користувачів Facebook зберігалися у відкритому вигляді і були доступні співробітникам, повідомляється в заяві компанії. За оцінками фахівців компанії, проблема торкнулася сотень мільйонів користувачів Facebook і десятків тисяч користувачів Instagram. Згідно із заявою Facebook, фахівці не виявили слідів витоку інформації за межі компанії.
Абсолютна більшість сучасних інтернет-сервісів зберігають не самі паролі користувачів, а розраховані для них хеші. Під час хешування вихідний пароль довільної довжини перетворюється на іншу послідовність символів певної довжини. Особливість використовуваних для цього хеш-функцій полягає в тому, що провести зворотну операцію, тобто відновити пароль з хешу, практично неможливо. Крім того, хеш-функції вкрай рідко стикаються з колізіями - тобто однаковим хешем для різних вхідних даних. Ці властивості роблять хеш-функції зручним інструментом, що дозволяє перевірити пароль користувача, але не зберігати його. Докладніше про застосування хешування для безпечного зберігання паролів можна прочитати тут. При коректній реалізації обробки пароля у разі злому зловмисники не отримають паролі.
Як з'ясувалося тепер, у Facebook обробка пароля при його введенні була реалізована некоректно і сотні мільйонів користувачів потенційно були схильні до загрози. У своїй заяві компанія розповіла, що про цю проблему її фахівцям стало відомо в січні під час перевірки безпеки сервісу. Розробники з'ясували, що паролі сотень мільйонів користувачів Facebook Lite, десятків мільйонів користувачів інших сервісів Facebook і десятків тисяч користувачів Instagram зберігалися на серверах компанії в читаному вигляді, а не у вигляді хешів. Крім того, після виявлення цієї вразливості фахівці також виявили проблеми в зберіганні іншої інформації, в тому числі токенів доступу.
Компанія зазначає, що всі проблеми були виправлені і схильні до них користувачі отримають повідомлення, але вона не буде примушувати їх змінити пароль. Facebook пояснила це тим, що її розслідування не показало, що хто-небудь поза компанією отримав доступ до паролів або хто-небудь із співробітників використовував дані в своїх цілях.
Блог Krebs on Security повідомив з посиланням на джерела в компанії, що близько 20 тисяч співробітників Facebook потенційно мали доступ до паролів у відкритому вигляді. Крім того, лог-файли показали, що близько двох тисяч з них дійсно отримували цю інформацію, проте невідомо, яким саме чином вони використовували її. За даними джерел, деякі паролі зберігалися у відкритому вигляді з 2012 року.
Раніше подібні масштабні проблеми з безпекою виявляли і в інших великих сервісах, у тому числі в соціальних мережах. Наприклад, минулого року Twitter оголосив, що так само виявив у своїй базі даних паролі у відкритому вигляді і закликав користувачів змінити пароль.