【フェイスブック】 “パスワード数億人分 社内の誰でも見られた”
■ このスレッドは過去ログ倉庫に格納されています
https://www3.nhk.or.jp/news/html/20190322/k10011856341000.html?utm_int=news-new_contents_list-items_002
フェイスブック “パスワード数億人分 社内の誰でも見られた”
2019年3月22日 4時46分
世界最大の交流サイトを運営するフェイスブックは、数億人規模の利用者のパスワードが、社内の人間であれば誰でも見ることができる状態にあったことを明らかにし、ずさんな管理体制に対する批判が高まりそうです。
アメリカのフェイスブックは21日、ことし1月に行った調査で、一部の利用者のパスワードが社内の人間であれば、誰でも見られる状態だったと発表しました。
本来、パスワードは、社内でも見られないよう、暗号化する必要があったにもかかわらず、その措置がとられていなかったということで、その後、修正したとしています。
管理のしかたに問題があったのは、23億人以上にのぼるフェイスブック利用者のうちの数億人分のパスワードで、傘下のインスタグラムの利用者も一部含まれており、アメリカのメディアは、合わせて2億人から6億人が対象だと伝えています。
一方、フェイスブックは日本の利用者が含まれているかどうかなどは明らかにしていません。
フェイスブックは「社外の人がパスワードを見ることができる状態にはなく、これまでのところ従業員が不正にアクセスしたという証拠もない」とコメントしました。
フェイスブックは、個人データの相次ぐ流出などで厳しい批判にさらされていて、管理体制の在り方を問う声が改めて高まりそうです。 インスタは兎も角
フェイスブックなんてもう誰もやってねえだろ Amazonのメールアドレス漏れで今でも迷惑メールが物凄いw 実名入れないとルール違反で凍結され、退会もできなくなる
メルアドをプロバイダのもので設定してたら、そのデータをずっと持ってるんだぜ
酷いよな LINEだって犯罪防止で会話内容チェックしてるって公表してるじゃん
パスなんて自由自在だろうに フェイスブックってのは結局、個人情報を集めて
それを適当に販売して利益を上げてる会社だからな
いつ、どこで、誰に、何の目的で売ったかなんて
全く分からないんだからな
こんなもんやってんのはバカだけだけど
そのバカが23億人もいるんだからな
さすがに先進国では下火になってるけどさ ハッシュ値だけ保存しとけば認証はできる
パスワード文字列そのものを保管する必要はない
運用以前の、設計思想レベルの問題 >>10
それどころか韓国政府にデータ渡してるしね。 >>17
不可逆なのは当然だろ。可逆にする必要性すら無い
単にファイルが見れる環境だった程度の話しだろ >>18
LINEってみんなこれがわかってるはずなのに
多用してるよね。 >>19
本来、パスワードは、社内でも見られないよう、暗号化する必要があったにもかかわらず、その措置がとられていなかったということで、その後、修正したとしています。 流行った頃「なんで顔本やらないの?」「リアルをアップできないって悲しいね」ってよく言われたw
こうなることがわかってたんだよw >>21
ん?パスワードの実wordと保存fileの区別出来てないだろ。 >>17
だよな。
以前、N社関連の仕事でパスワードはmd5でハッシュしたものを保存するように作ったんだが、
N社のやつらが平文パスワードを保存するように改悪していやがった。
日本も当然こういうのが多いはず。 みんな見られるようにしといたほうが顧客対応で便利だしね IT 企業なんか勤めてたら、サラ金の従業員なみに避けられるよね。 ハッシュ化すらしとらんのか。
まあ、悪用するためにわざとそのままにしてたんだろうが。 >>19
何が「単にファイルが見れる」だ社員さん
ハッシュで守られるのはユーザーが適切にパスワードを設定している場合だけだ。
12345678やabcみたいな、「推定可能なパスワード」にハッシュは無力だよ。 >>18
君は韓国政府がデータを集めなきゃいけないようなことを書いてるの? >>26
>>1を見る限り、運用は改めたけれども、設計を改めてはないようだ
この会社に何かを預けるのはよした方がいいな 「本日の思い出」とか言って2〜3年前の投稿をピックアップしたり動画に
まとめてくれるけどそれってFB側がデータを保存して自由にみてるんだよね >>24
記者が理解してるかどうか分からないが、
記事に暗号化していないと書いている以上それを妄想で全否定されてもな。 なんで生なんだよハッシュしとけや
預かる側も今時パスワード生でなんか保存したくねえよ >>15
いや、普通は平文のまま管理することはない。 >>19が夜中に火消しをする動機が知りたい
「通常、フェイスブックはユーザーパスワードを暗号化し第三者が読めないようにして社内システムに保存しているいる。
今回は、一部パスワードが「プレーンテキスト」と呼ばれる通常の文書形式のまま保存されており、結果として誰もが容易に読み込める状態になっていた」 フェイスブックって浮気の道具に過ぎんだろ
ミクシィよりも簡単に女が吊れる メッセで相手とやりとりしてた言葉がすぐにDMで反映されちゃうんだよね 元々ザッカーは大学時代メールアドレスを簡単に教える同窓生をカモネギのバカだと笑ってて、そういう奴らが大量にいることから思いついた事業だろ >>20
その他のメッセージアプリが不便すぎクソ過ぎ
メッセージプラス作ったヤツ出てこいマジメにやれ 日本民法の父、穂積陳重の『法窓夜話』を現代語に完全改訳
法律エッセイとして異例のベストセールスを続けた名著を
手軽に読みやすく。短編×100話なので気軽に読めます。
法窓夜話私家版 https://www.amazon.co.jp/dp/B07NQCZ7S7
dwv Facebookのアカウントでログインするサービスもヤバイな
俺の使ってる無関係のアカウントで不正ログインのアラート来たのはコレのせいかなあ これパスワードをハッシュ値じゃなくて生保管してたってのをゲロってる様なもんだよね
いやーこれはなかなか笑えない話になってきてる気がする な
アメリカ産の通信機器やアプリとかシステムは
ぜーーーーぶ、アメリカ情報部や制作会社がスパイ可能なんだよ
ロシアや中国産で無いと危険
アメリカが中国産とかロシア製を嫌がって制裁騒ぎを起こすのは
盗聴できなくなるから >>3
インスタも同じだよ
同じ会社がやっているのに管理方法が別の訳がない パスワードの平文保管って、覗き見以外にどんなメリットがあるんだよ… >>52
よういつも中国マンセーしてる単発五毛党さん >>31
オマエ、ビッグデータってなんのために各国家、大企業が躍起になってるのか調べてから物を言えよ? はすみに「いいね」をした人間のFacebookにセキュリティー会社権限でアクセスしてたぱよちんと関係ある? ニックネームで実名入れてないし、出身校とか居住区とかの個人情報一切入れてないけど、今のところ凍結されないな。
ようつべのアカウントと同じニックネームにしているからかな? >>61
はいはい
君の情報の価値には俺が対価を払ってあげるよ。
つI >>66
1億人分なら10億円。それだけの価値があるってことを認めてるんだな >>61
ビッグデータ=一山いくらじゃないと売れないデータ (´・ω・`)ビッグデータを軽くみてたら試しに5chでYouTubeの悪口を思いっ切りレスしてみよう!あら不思議、YouTubeでコメント不可にされてるぅwww >>68
一億人分が10億円で売られるからと言って、おまいさんのデータが10億円なわけじゃないと理解しような パスワードを平文で保持しているのは
発注要件がそうなっていたのか
実装した技術者が素人レベルだったのか
どっちだろうな むしろパスワード見られなくてアカウント管理できない運営とか聞いたことないぞw まさかtamakinkaikaiを見られてしまったのか! 証拠はないって
アクセスしていないとは言い切れないんだな フェイスブックって別に見られてもいいような自慢話しか書いてないイメージ フェイスブック社員は全ユーザーの写真や書き込み、誰とフレになっているのかなど全て自由に覗けてたって事か
しかも外部のメディアに暴露されて慌てて釈明してるけど、この暴露が無ければ今後もずっと覗き続けるつもりだったと >>1
これまでのところ従業員が不正にアクセスしたという証拠もない」とコメントしました。
普通にアクセスしたんだろw >>59
dmmやヤフーなんかにログインするこもが出来たということかな。
あとはよくあるパスワードの漏洩て不思議な事件の温床という疑惑が生産された。
自分達の中はお手盛り。
アカウント連携した他のサイトへの不正アクセスに関しては、当然検査してないだろう。 >>1
そもそもなんでハッシュ化してないの?
つうかSOHOレベルのサイトでもパスワードの不可逆ハッシュ化くらいするやろw 別にフェイスブックだけじゃないだろw
ネットショッピングやら映像音楽会社、転職サイトやら銀行に証券に
あらゆるものがそこに勤めている奴らなら見れちゃうんだろ? >一方、フェイスブックは日本の利用者が含まれている
何で含まれないと思ったんだ? フェイスブックとかいうゴミ使わないからな
たまに人の名前で勝手に作ってるのをやめたほうがいいと思う
はやくなくなってしまえ lineもベッキーの会話が流出してたけど
そんなことできるの社内の人間だろ
ああいうものを信用したらだめ >>73
アプリケーションが意図して書き出すのでない限り
パスワード文字列がサーバに残る道理がない
(コードを書く開発者でなく)運用サイドの人間が意図して行わない限り
それが社内全体に共有される道理がない
最初からそういう仕様、そういう設計であったとしか考えられない
この会社はそういう思想なのだ
つまり発注要件の通りだ そうだと思って、FBは匿名で登録したし、電話番号も入れてないし、
出身大学はラーメン大学にしといた 暗号化?ハッシュ化?
まさか平文が見られたんじゃないよな? >>46
あれって会話するたびにSMS送ってるんだろ?
通信費掛かってやってられんぞ 運営会社なんだからデータ見れて当たり前だろ。社外で観れたなら問題だが >>93
平文のパスワードがプレーンテキストて存在していた。
1.何故、平文のパスワードが存在しているのか?
× アカdbをハッシュしてない → 他は大丈夫と説明している
○ パスワード登録時にdbとは別に平文パスワードを記録する機能が存在している
2.リスト化していた理由
→ なんのため?普通は要らない。
→ すると連携した他社のアカウントにアクセスするためという疑念が生まれる
この二つから、この会社を信用するのは狂信者だよ >>96
いったいどこに平文パスワード見る必要があるのかと小一時間(ry なんかFBもうだめだろ
常識が通用しないっていうか
この規模なら当然そうなってるとみんなが誤解することによって
今の地位にあるとしか >>97
最初の方のシステムがそうだったんじゃないの? ■ このスレッドは過去ログ倉庫に格納されています