Nettstedet KrebsOnSecurity skrev torsdag at flere hundre millioner Facebook-brukere har fått sine passord lagret i en server som er søkbar for tusenvis av ansatte hos mediegiganten.
Facebook sier til nettstedet at en pågående gransking så langt ikke har gitt noen indikasjon på at de ansatte har misbrukt tilgangen til slik informasjon.
– Bare for å gjøre det helt klart, disse passordene var aldri synlige for noen utenfor Facebook, og vi har ikke funnet beviser for at noen internt hos oss har misbrukt dem eller på feilaktig grunnlag har skaffet seg tilgang til dem, sier Pedro Canahuati i Facebook.
Opptil 600 millioner
Kilder hos Facebook opplyser at granskingen så langt tyder på at passordene til mellom 200 og 600 millioner brukere ble lagret på serveren, som over 20.000 ansatte hadde tilgang til.
Lagringen skal ha funnet sted tilbake til 2012, og ifølge KrebsOnSecurity har Facebooks ingeniører og utviklere siden den gang foretatt rundt 9 millioner søk etter dataelementer som inneholder brukerpassord i ren tekst.
Facebook vil ikke kommentere disse opplysningene, men sier at det hittil ikke er avdekket at noen har søkt spesifikt etter passord.
– Vi har heller ikke funnet tegn til misbruk av data, sier utvikleren Scott Renfro til KrebsOnSecurity.
Ifølge Renfro planlegger Facebook å varsle brukerne, men ifølge ham er det ikke nødvendig å endre passord.
Pinlig
– Ingen organisasjon, særlig ikke en organisasjon på Facebooks størrelse, har behov for å lagre brukernes passord i ren tekst, sier datasikkerhetseksperten Andrei Barysevich i Recorded Future.
Han kan ikke komme på noen tilsvarende tilfeller der så mange passord har blitt er lagret ukryptert.
Sikkerhetseksperten Troy Hunt, som står bak nettstedet haveibeenpwned.com , mener saken er svært pinlig for Facebook.
De rent praktiske følgene er rett nok små, mener han, så sant ingen utenforstående har fått tilgang til passordene.
Ikke uvanlig
Hunt minner om at Facebook tidligere har blitt gjenstand for hacking, og senest i september fikk utenforstående tilgang til 29 millioner brukerkontoer.
Jake Williams, som leder datasikkerhetsselskapet Rendition Infosec, mener lagring av passord i rent format slett ikke er uvanlig.
– Det er uheldigvis mer vanlig enn de fleste innen industrien liker å snakke om, sier han, og legger til at det som oftest skjer når utviklere forsøker å rense datasystemer for virus.
