Facebook เผลอบันทึกรหัสผ่านของผู้ใช้หลายร้อยล้านบัญชีลงใน log พนักงานสามารถเปิดดูได้ กระทบ Instagram ด้วย ผู้ใช้ควรเปลี่ยนรหัสผ่าน เมื่อวันที่ 21 มีนาคม 2562 บริษัท Facebook ได้ออกแถลงการณ์ว่า จากการตรวจสอบความมั่นคงปลอดภัยภายใน พบว่ามีระบบที่บันทึกรหัสผ่านจริงของผู้ใช้ลงในไฟล์ log ส่งผลให้พนักงานบางส่วนของ Facebook สามารถเข้าถึงข้อมูลดังกล่าวและเห็นรหัสผ่านจริงของผู้ใช้ได้ ระบบนี้มีการใช้งานมาตั้งแต่ปี 2555 มีผู้ใช้ที่ได้รับผลกระทบประมาณ 200 - 600 ล้านบัญชี โดยเบื้องต้นทาง Facebook ได้แนะนำให้ผู้ใช้เปลี่ยนรหัสผ่านทั้ง Facebook และ Instagram โดยควรเปิดใช้งานการยืนยันตัวตนแบบสองขั้นตอนร่วมด้วย
ทาง Facebook ได้ชี้แจงเพิ่มเติมว่า โดยปกติแล้วกระบวนการเก็บรหัสผ่านของ Facebook จะมีการนำรหัสผ่านไปเข้ากระบวนการ hash และ salt โดยใช้ฟังก์ชัน scrypt ก่อนนำไปบันทึกลงในฐานข้อมูล เพื่อไม่ให้พนักงานของ Facebook สามารถเห็นรหัสผ่านจริงของผู้ใช้ได้ ทั้งนี้ ทาง Facebook ได้ชี้แจงว่า ปัญหาที่เกิดขึ้นนี้อยู่ในส่วนที่เก็บ log สำหรับวิศวกรหรือนักพัฒนาระบบ ซึ่งไม่ได้มีกระบวนการอำพรางรหัสผ่านก่อนบันทึก log ทำให้พนักงานบางส่วนสามารถเห็นรหัสผ่านจริงได้ อย่างไรก็ตาม ทาง Facebook ยืนยันว่ารหัสผ่านของผู้ใช้ยังไม่ได้ถูกเปิดเผยออกไปยังบุคคลภายนอก
ผู้ใช้ที่ได้รับผลกระทบจะได้รับอีเมลแจ้งเตือนจาก Facebook เพื่อขอให้เปลี่ยนรหัสผ่าน อย่างไรก็ตาม เพื่อความปลอดภัย ผู้ที่ใช้งาน Facebook และ Instagram ควรเปลี่ยนรหัสผ่าน โดยควรตั้งรหัสผ่านใหม่ไม่ให้ซ้ำกับของเดิมและไม่ซ้ำกับรหัสผ่านที่ใช้งานในบริการอื่นๆ
วันที่: 2019-03-22 | ที่มา:
Bleeping Computer,
Krebs on Security,
|
