フェイスブック同社は、世界をよりオープンでつながりのあるものにすることを目指しています。ただし、おそらく、自社の重大なプライバシーに関する失敗を 20 億人以上のユーザーと共有する場合は例外です。
後最初に報告されたのは KrebsOnSecurity同社が2012年以来、何億ものユーザーのパスワードを平文で保存していたことを明らかにしたところ、Facebookのエンジニアリング担当副社長ペドロ・カナフアティ氏は急いで公開した。ブログ投稿間違いは1月に発見されたことに注意してください。つまり3ヶ月前。
Facebook が重大なセキュリティとプライバシーの過失に対処するためにニュースがすでに世に出るまで待っていたことは、注意を払っていた人にとっては驚くべきことではありませんが、衝撃の欠如が辞任につながるべきではありません。 Facebookは早期にユーザーに通知することもできたが、そうしなかった。
Facebookは早期にユーザーに通知することもできたが、そうしなかった。
Facebookがなぜ強制されるまで沈黙を保ったのかという疑問が重要である。それは単にセキュリティ上の賢明な決定だったのでしょうか、それとも、恥ずかしい間違いを犯した後で自らの尻を隠そうとした試みでしょうか?
私たちはこの質問に答えようと Facebook に問い合わせましたが、当然のことながら、本記事の時点では返答はありませんでした。トロイ・ハント、おそらく侵害開示サイトの運営で最もよく知られているセキュリティ研究者私はPwnedを取得しました、チャットに積極的になりました。
同氏はツイッターのダイレクトメッセージで「データが悪用された証拠がなかったため、フェイスブックは当初この問題を公表しないことに決めたのではないかと思う」と書いた。 「ストレージが明らかに不適切であったとしても、保存されたデータが侵害されなければ顧客への影響はゼロだったはずであるため、その立場は理解できます。」
もちろん、これはパスワードが不正にアクセスされていないことを前提としています。 Facebook もブログ投稿で同様のことを主張していますが、それには次のことが必要です。フェイスブックを信頼する。まあ、この機会に飛びつかないのも無理はないでしょう。
マッシュ可能な光の速度
それでも、ハント氏ですら、クレブス氏の記事が削除されるまでパスワードの失敗を公表するのを待っていたことで、Facebookが自らの責任を果たしたことを認めている。
「その『光学』は悪く、後から考えると、いずれにせよ漏洩する可能性が非常に高い類のものであり、Twitter や GitHub が昨年行ったように積極的に開示するのがより賢明な行動だったかもしれない。」 」
ハント氏は2018年にTwitterで、規模は小さいとはいえ同様の状況について言及していた。会社は言ったユーザーのパスワードは「内部ログにマスクされずに」保存されており、ユーザーは次のことを行う必要があります。パスワードを変更する結果として。
注目すべきは、Facebookがユーザーにパスワードを変更することを推奨していないことだ。これは、「内部で誰かがパスワードを悪用したり、不正にアクセスしたりする証拠はこれまで見つかっていない」という同社の主張と都合よく一致する姿勢だ。重要なのは、これまでに何かが起こったという証拠が見つからないことと、何かが起こっていないことは同じではないということです。
それでも、Facebookが名乗り出るのが遅れたことには、同社をより好意的に捉える理由があるのかもしれない。
パトリック・ウォードル、セキュリティ研究者と共同創設者デジタルセキュリティはTwitterのダイレクトメッセージでMashableに対し、Facebookは理解できる理由でこれだけ長く待ったのではないかと推測していると語った。
「あえて推測しなければならないとしたら、FBはおそらく状況の全容を理解したかったのだろう」と彼は書いた。 「他にも DB はありましたか? 誰かがアクセスしましたか? etc etc[.]」
同氏は続けて、自分はデータ侵害の特別な専門家ではないとしながらも、「これほど長く待つことに悪意があったのではないか…もしかしたらその逆もあったかもしれない[。]」と疑っていると付け加えた。
したがって、過去 7 年間、誰もプレーンテキストのパスワードにアクセスしなかったという Facebook の言葉をそのまま受け入れると仮定すると、特に心配する必要はありません。そして、マーク・ザッカーバーグのブランド「愚かなファック「私たちは、日々の Facebook ビジネスを続けるだけで大丈夫です。