David Slížek

Tohle o žádném provozovateli služby, na které máte účet, slyšet nechcete. Facebook řadu let ukládal v interních databázích hesla stovek milionů svých uživatelů v čitelné podobě (plaintextu). K datům měly potenciální přístup desítky tisíc firemních vývojářů. Informoval o tom uznávaný bezpečnostní expert Brian Krebs a Facebook to posléze potvrdil na svém blogu.

Podle Krebsových informací Facebook interně vyšetřuje, jak se to mohlo stát. Zaměstnanci Facebooku patrně řadu let udržovali pracovní aplikace, které zaznamenávaly kromě jiných dat také nešifrovaná hesla uživatelů a ukládaly je na interních serverech. V čitelné podobě na nich nakonec byla uložena hesla 200 až 600 milionů uživatelů, píše Krebs s odvoláním na svůj zdroj ve Facebooku.

Interní šetření zatím přišlo na soubory dat obsahující hesla datované až do roku 2012. Potenciální přístup k heslům mělo všech asi 20 tisíc zaměstnanců Facebooku, přístupové logy ale zatím ukazují, že s daty nějakým způsobem pracovaly „jen“ asi 2 tisíce vývojářů, kteří na datové soubory obsahující čitelná hesla uskutečnili přibližně 9 milionů dotazů.

Podle Facebooku nebyla hesla do datových souborů uložena úmyslně. Zatím se prý také neprokázalo, že by někdo data zneužil, nebo že by v datech úmyslně vyhledával právě hesla. Firma na problém přišla letos v lednu, kdy si logování hesel všimli bezpečnostní pracovníci Facebooku.

Facebook se podle Krebse chystá o incidentu informovat dotčené uživatele. Má jít o stovky milionů uživatelů aplikace Facebook Light (odlehčené verze mobilní aplikace pro regiony se slabou konektivitou), desítky milionů dalších uživatelů Facebooku a desítky tisíc uživatelů Instagramu.

Sstandardně Facebook pro ukládání hesel svých uživatelů používá hashovací algoritmus scrypt.