【こマ?】フェイスブックさん、利用者のパスワードを平文で保存、社内で閲覧できる状況だったと発表wwwwwwwwwwwwwwwwwwwwwwww

28

フェイスブック “パスワード数億人分 社内の誰でも見られた”
2019年3月22日 4時46分

世界最大の交流サイトを運営するフェイスブックは、数億人規模の利用者のパスワードが、社内の人間であれば誰でも見ることができる状態にあったことを明らかにし、ずさんな管理体制に対する批判が高まりそうです。

アメリカのフェイスブックは21日、ことし1月に行った調査で、一部の利用者のパスワードが社内の人間であれば、誰でも見られる状態だったと発表しました。

本来、パスワードは、社内でも見られないよう、暗号化する必要があったにもかかわらず、その措置がとられていなかったということで、その後、修正したとしています。

管理のしかたに問題があったのは、23億人以上にのぼるフェイスブック利用者のうちの数億人分のパスワードで、傘下のインスタグラムの利用者も一部含まれており、アメリカのメディアは、合わせて2億人から6億人が対象だと伝えています。

一方、フェイスブックは日本の利用者が含まれているかどうかなどは明らかにしていません。

フェイスブックは「社外の人がパスワードを見ることができる状態にはなく、これまでのところ従業員が不正にアクセスしたという証拠もない」とコメントしました。

フェイスブックは、個人データの相次ぐ流出などで厳しい批判にさらされていて、管理体制の在り方を問う声が改めて高まりそうです。

※下記リンクより、一部抜粋。続きはソースで
https://www3.nhk.or.jp/news/html/20190322/k10011856341000.html?utm_int=news-new_contents_list-items_002




4名無しさん@1周年2019/03/22(金) 05:45:30.09ID:D2vpoEw10.net

やっぱりね。


8あすにゃああああん2019/03/22(金) 05:48:43.57ID:wc5c4UUNO.net

Amazonのメールアドレス漏れで今でも迷惑メールが物凄いw


12名無しさん@1周年2019/03/22(金) 05:52:32.56ID:ZsYY985h0.net

マイナンバー並みの杜撰な管理


13名無しさん@1周年2019/03/22(金) 05:53:05.81ID:Azp4A1BV0.net

他も同じでしょ


14名無しさん@1周年2019/03/22(金) 05:54:48.09ID:RPBZCejm0.net

俺のも見られてたんやろうな


16名無しさん@1周年2019/03/22(金) 05:57:21.21ID:8F6GrVIq0.net

時代錯誤も甚だしい


22名無しさん@1周年2019/03/22(金) 06:09:47.22ID:r2syFgGu0.net

もう使ってるやついないからどうでもいいよね


25名無しさん@1周年2019/03/22(金) 06:23:59.97ID:VXuZz1GR0.net

20年以上前のセキュリティルール


27名無しさん@1周年2019/03/22(金) 06:30:59.38ID:Azp4A1BV0.net

みんな見られるようにしといたほうが顧客対応で便利だしね




28名無しさん@1周年2019/03/22(金) 06:34:50.80ID:cA6iRcMh0.net

IT 企業なんか勤めてたら、サラ金の従業員なみに避けられるよね。


35名無しさん@1周年2019/03/22(金) 06:52:05.17ID:AOCt1Iiv0.net

あの映画見て、大嘘だと思った。


42名無しさん@1周年2019/03/22(金) 07:11:21.86ID:l7oJtp3l0.net

知ってた 


3名無しさん@1周年2019/03/22(金) 05:45:11.97ID:0yyUdx8p0.net

インスタは兎も角
フェイスブックなんてもう誰もやってねえだろ


53名無しさん@1周年2019/03/22(金) 08:01:39.28ID:2dx0peib0.net

>>3
インスタも同じだよ

同じ会社がやっているのに管理方法が別の訳がない


10名無しさん@1周年2019/03/22(金) 05:49:40.54ID:Igod5+3g0.net

LINEだって犯罪防止で会話内容チェックしてるって公表してるじゃん
パスなんて自由自在だろうに


18名無しさん@1周年2019/03/22(金) 06:03:34.10ID:M/Kcu2Ys0.net

>>10
それどころか韓国政府にデータ渡してるしね。


31名無しさん@1周年2019/03/22(金) 06:41:08.40ID:o/AYOrFA0.net

>>18
君は韓国政府がデータを集めなきゃいけないようなことを書いてるの?


61名無しさん@1周年2019/03/22(金) 08:22:42.81ID:TC6115UK0.net

>>31
オマエ、ビッグデータってなんのために各国家、大企業が躍起になってるのか調べてから物を言えよ?


69名無しさん@1周年2019/03/22(金) 08:43:59.91ID:kiB9JJIU0.net

>>61
ビッグデータ=一山いくらじゃないと売れないデータ


66名無しさん@1周年2019/03/22(金) 08:40:47.80ID:8KHKYj9S0.net

>>61
はいはい
君の情報の価値には俺が対価を払ってあげるよ。

つ⑩


68名無しさん@1周年2019/03/22(金) 08:43:41.71ID:mGaknftx0.net

>>66
1億人分なら10億円。それだけの価値があるってことを認めてるんだな


72名無しさん@1周年2019/03/22(金) 08:45:51.66ID:uPA2kF+Y0.net

>>68
一億人分が10億円で売られるからと言って、おまいさんのデータが10億円なわけじゃないと理解しような


74名無しさん@1周年2019/03/22(金) 09:09:34.35ID:FpnQBb220.net

>>72
個人情報で儲ける気マンマンだな。


51名無しさん@1周年2019/03/22(金) 07:56:11.20ID:jn6gSc9B0.net

>>31
でたよ、このロジック




20名無しさん@1周年2019/03/22(金) 06:05:33.56ID:Azp4A1BV0.net

>>18
LINEってみんなこれがわかってるはずなのに
多用してるよね。


46名無しさん@1周年2019/03/22(金) 07:21:10.61ID:K12qSB7D0.net

>>20
その他のメッセージアプリが不便すぎクソ過ぎ
メッセージプラス作ったヤツ出てこいマジメにやれ


95名無しさん@1周年2019/03/22(金) 12:24:29.15ID:zks8hpy50.net

>>46
あれって会話するたびにSMS送ってるんだろ?
通信費掛かってやってられんぞ


124名無しさん@1周年2019/03/22(金) 20:39:24.60ID:syRtTeCU0.net

>>10
無料ツールはほぼもれていると考えて間違いないよな
ケー札とか、官房とかも使ってるとか、何考えてるんだろ・・・


15名無しさん@1周年2019/03/22(金) 05:56:02.73ID:Azp4A1BV0.net

それを管理してる会社からは見られると思うけど


38名無しさん@1周年2019/03/22(金) 07:04:24.70ID:JJeviFGX0.net

>>15
いや、普通は平文のまま管理することはない。


17名無しさん@1周年2019/03/22(金) 06:00:06.50ID:smwlqewI0.net

ハッシュ値だけ保存しとけば認証はできる
パスワード文字列そのものを保管する必要はない
運用以前の、設計思想レベルの問題


19名無しさん@1周年2019/03/22(金) 06:04:35.19ID:VolsY+V/0.net

>>17
不可逆なのは当然だろ。可逆にする必要性すら無い
単にファイルが見れる環境だった程度の話しだろ


39名無しさん@1周年2019/03/22(金) 07:07:13.18ID:Aie2M35U0.net

>>19が夜中に火消しをする動機が知りたい

「通常、フェイスブックはユーザーパスワードを暗号化し第三者が読めないようにして社内システムに保存しているいる。
今回は、一部パスワードが「プレーンテキスト」と呼ばれる通常の文書形式のまま保存されており、結果として誰もが容易に読み込める状態になっていた」


30名無しさん@1周年2019/03/22(金) 06:38:58.32ID:P8+fqC6Z0.net

>>19
何が「単にファイルが見れる」だ社員さん
ハッシュで守られるのはユーザーが適切にパスワードを設定している場合だけだ。
12345678やabcみたいな、「推定可能なパスワード」にハッシュは無力だよ。


21名無しさん@1周年2019/03/22(金) 06:07:56.68ID:smwlqewI0.net

>>19
本来、パスワードは、社内でも見られないよう、暗号化する必要があったにもかかわらず、その措置がとられていなかったということで、その後、修正したとしています。


24名無しさん@1周年2019/03/22(金) 06:20:21.28ID:VolsY+V/0.net

>>21
ん?パスワードの実wordと保存fileの区別出来てないだろ。


36名無しさん@1周年2019/03/22(金) 06:56:47.35ID:AOCt1Iiv0.net

>>24
記者が理解してるかどうか分からないが、
記事に暗号化していないと書いている以上それを妄想で全否定されてもな。


26名無しさん@1周年2019/03/22(金) 06:28:17.46ID:FpnQBb220.net

>>17
だよな。
以前、N社関連の仕事でパスワードはmd5でハッシュしたものを保存するように作ったんだが、
N社のやつらが平文パスワードを保存するように改悪していやがった。
日本も当然こういうのが多いはず。


32名無しさん@1周年2019/03/22(金) 06:43:31.54ID:smwlqewI0.net

>>26
>>1を見る限り、運用は改めたけれども、設計を改めてはないようだ
この会社に何かを預けるのはよした方がいいな




23名無しさん@1周年2019/03/22(金) 06:17:08.38ID:SkweOzJo0.net

流行った頃「なんで顔本やらないの?」「リアルをアップできないって悲しいね」ってよく言われたw

こうなることがわかってたんだよw


138名無しさん@1周年2019/03/23(土) 00:05:11.63ID:jeOCIHGw0.net

>>23
ラインでも同じこと言う奴いるな
「なんでラインやらないの?」「やる相手いないの?」「必要な連絡()いちいちメールするなんて面倒なんだけど?!」


52名無しさん@1周年2019/03/22(金) 08:00:50.42ID:2dx0peib0.net


アメリカ産の通信機器やアプリとかシステムは

ぜーーーーぶ、アメリカ情報部や制作会社がスパイ可能なんだよ

ロシアや中国産で無いと危険
アメリカが中国産とかロシア製を嫌がって制裁騒ぎを起こすのは
盗聴できなくなるから


55名無しさん@1周年2019/03/22(金) 08:03:45.17ID:XuVTDXmZ0.net

>>52
よういつも中国マンセーしてる単発五毛党さん


59名無しさん@1周年2019/03/22(金) 08:17:39.71ID:71WmB3KY0.net

これの何が問題なのか?


83名無しさん@1周年2019/03/22(金) 10:42:30.94ID:4P83FWM50.net

>>59
dmmやヤフーなんかにログインするこもが出来たということかな。
あとはよくあるパスワードの漏洩て不思議な事件の温床という疑惑が生産された。
自分達の中はお手盛り。
アカウント連携した他のサイトへの不正アクセスに関しては、当然検査してないだろう。


73名無しさん@1周年2019/03/22(金) 09:02:50.59ID:riH8EOl30.net

パスワードを平文で保持しているのは
発注要件がそうなっていたのか
実装した技術者が素人レベルだったのか
どっちだろうな


90名無しさん@1周年2019/03/22(金) 10:59:46.96ID:smwlqewI0.net

>>73
アプリケーションが意図して書き出すのでない限り
パスワード文字列がサーバに残る道理がない

(コードを書く開発者でなく)運用サイドの人間が意図して行わない限り
それが社内全体に共有される道理がない

最初からそういう仕様、そういう設計であったとしか考えられない
この会社はそういう思想なのだ
つまり発注要件の通りだ


79名無しさん@1周年2019/03/22(金) 09:21:24.34ID:uGavVtx30.net

フェイスブックって別に見られてもいいような自慢話しか書いてないイメージ


80名無しさん@1周年2019/03/22(金) 09:56:43.76ID:Azp4A1BV0.net

>>79
みんなに見えないとこが危ない


93名無しさん@1周年2019/03/22(金) 11:43:05.79ID:zks8hpy50.net

暗号化?ハッシュ化?
まさか平文が見られたんじゃないよな?


94名無しさん@1周年2019/03/22(金) 12:10:34.58ID:7e22Lneb0.net

>>93
そのまさかだから問題になってる


97名無しさん@1周年2019/03/22(金) 12:40:23.00ID:4P83FWM50.net

>>93
平文のパスワードがプレーンテキストて存在していた。
1.何故、平文のパスワードが存在しているのか?
× アカdbをハッシュしてない → 他は大丈夫と説明している
○ パスワード登録時にdbとは別に平文パスワードを記録する機能が存在している
2.リスト化していた理由
→ なんのため?普通は要らない。
→ すると連携した他社のアカウントにアクセスするためという疑念が生まれる

この二つから、この会社を信用するのは狂信者だよ


100名無しさん@1周年2019/03/22(金) 13:26:05.47ID:YfMkBMfF0.net

>>97
最初の方のシステムがそうだったんじゃないの?


96名無しさん@1周年2019/03/22(金) 12:31:17.33ID:3WVxo2Zl0.net

運営会社なんだからデータ見れて当たり前だろ。社外で観れたなら問題だが


98名無しさん@1周年2019/03/22(金) 12:47:37.87ID:V75be0YK0.net

>>96
いったいどこに平文パスワード見る必要があるのかと小一時間(ry


99名無しさん@1周年2019/03/22(金) 12:49:29.39ID:Lc1B+Api0.net

なんかFBもうだめだろ
常識が通用しないっていうか
この規模なら当然そうなってるとみんなが誤解することによって
今の地位にあるとしか


107名無しさん@1周年2019/03/22(金) 19:12:13.27ID:4P83FWM50.net

>>99
さっきワイアードの記事をみた。
シリコンバレーの投資家で、フェイスブックにも初期から投資していた人との説明がある人のコメント記事。
そのなかに
フェイスブック&Google「我々が作った物にはなんら責任を持たない」
と黎明期から宣言していたそうな。

「わーい。勝てばいいんだ!儲かればいい!ワールドカップ出場おめでとー」
みたいな言葉を想起した


109名無しさん@1周年2019/03/22(金) 19:56:01.60ID:RLI3mULN0.net

だから、各サイトでパスワード同じにしたらダメなんだよ
どのサイトのパスワードも、でたらめにキーボードを打った16桁のパスワードにしとかないと
同じパス使ってたらどこかのサイトに1人悪い奴がいたら全部見られてしまう


111名無しさん@1周年2019/03/22(金) 20:00:30.82ID:FpnQBb220.net

>>109
どうやって覚えるんだよそのでたらめに打ったパスワード。


112名無しさん@1周年2019/03/22(金) 20:02:33.93ID:RLI3mULN0.net

>>111
まあ安全のために手帳に書き込んでる


123名無しさん@1周年2019/03/22(金) 20:38:39.59ID:V75be0YK0.net

>>112
手帳をなくしたらどうすんの?


130名無しさん@1周年2019/03/22(金) 20:55:05.62ID:RLI3mULN0.net

>>123
ブラウザに保管されてる


131名無しさん@1周年2019/03/22(金) 21:02:06.09ID:V75be0YK0.net

>>130
知らないうちに誰かが手帳を開いて撮影してたとか


132名無しさん@1周年2019/03/22(金) 21:18:05.04ID:RLI3mULN0.net

>>131
手帳は持ち歩かないので、泥棒でも入らない限り盗まれる盗み見されることはない


114名無しさん@1周年2019/03/22(金) 20:10:56.74ID:Vzc6v7ay0.net

ワンタイムパスワード設定してるから全く問題ないが?


118名無しさん@1周年2019/03/22(金) 20:30:18.22ID:4P83FWM50.net

>>114
そういうことじゃなく、信用問題が、これの核心の問題たろ
例えば、これをプロバイダがやったと判明したら、普通に行政処分。
顔はこれ以外にもいくつも発覚していて、改善の余地なし。
普通に免許取消になっている。
しかし、未だに行政処分どころか、なんの音がめもない。


141名無しさん@1周年2019/03/23(土) 06:27:51.21ID:zy7r6tMh0.net

アカウントの使い回しとパスワードの使い回しは、同じことだよね。
知らんうちにしらんサイトと連携してました。
それってバスワードを同じに設定したのと同じ。
一応は、連携するサイトを選べるアカウントもあるそうだが、このあたりは、適当にリセットされる、最初は全部許可とかな訳で


147名無しさん@1周年2019/03/23(土) 08:26:20.98ID:mqXjKEJ00.net

>>141
違う
連携サイトにパスワードは補完されないから、知らんサイトからパスが漏れることはない。


149名無しさん@1周年2019/03/23(土) 09:04:55.79ID:YlY0o6W10.net

>>147
ということはFacebookからはログインしてるよって情報だけなのね単純に
まあFacebookと連携して何が得なのか分からないから使ったことないけど





ホームに戻る

コメントありがとうございます  

最新のコメントへ(28)  
お気軽に一言お願いします。   最新のコメントへ(28)
 
 

コメントが反映されるまで時間が掛かる場合があります。
URLの記入はhttpのhを抜いて下さい(宣伝対策です)。
28