Facebook bewaarde miljoenen wachtwoorden zonder versleuteling

Facebook heeft jarenlang wachtwoorden van zijn gebruikers onversleuteld bewaard op zijn interne servers. De wachtwoorden waren eenvoudig toegankelijk en doorzoekbaar voor zo’n 20.000 medewerkers van het socialmediaconcern. Dat meldt de bekende securityexpert Brian Krebs op zijn blog.

Facebook Lite

Volgens het blog van Brian Krebs gaat het om de wachtwoorden van 200 tot 600 miljoen gebruikers van de zogenoemde ‘Facebook Lite’-app. Facebook Lite is een lichtgewicht versie van de reguliere Facebook-app en in Nederland enkel beschikbaar voor Android-smartphones. De applicatie is met name in gebruik op wat oudere toestellen en in landen met een langzamere internetverbinding.

Op dit moment probeert Facebook nog steeds te achterhalen hoeveel wachtwoorden exact zijn blootgesteld en hoe lang. Het onderzoek wijst tot nu toe uit dat het lek al sinds 2012 bestond. Er zijn o dit moment nog geen aanwijzingen van misbruik aangetroffen.

Platte tekst

De wachtwoorden werden als platte, leesbare tekst in een database opgeslagen. Normaal gesproken worden wachtwoorden voor opslag eerst omgezet in een willekeurige tekenreeks, een zogenaamde ‘hash. Logt een gebruiker in, dan zet een algoritme het wachtwoord om in de tekenreeks en toetst deze reeks aan de variant in de database. Die omzetting naar hashes heeft bij de getroffen accounts nooit plaatsgevonden. Dat maakt het voor werknemers met toegang tot de server eenvoudig om de wachtwoorden uit te lezen.

Facebook gaat de komende tijd betrokken gebruikers informeren via een melding bij het inloggen op Facebook of het ‘zusternetwerk’ Instagram. Het is niet bekend wanneer het concern precies met die actie start.

Het nieuws komt te midden van andere negatieve berichtgeving rondom Facebook. De New York Times berichtte onlangs dat de Amerikaanse openbare aanklagers een justitieel onderzoek overwegen in verband met schimmige datadeals met diverse bedrijven.

Verander wachtwoord direct

YourSafetynet raadt alle Facebook-gebruikers aan hun wachtwoord voor de zekerheid direct te veranderen. Zeker wanneer je gebruik maakt of maakte van de Facebook Lite-app. Overigens is het sowieso een goede gewoonte om eens in de zoveel tijd een wachtwoord aan te passen. Dat verkleint de kans dat hackers met buitgemaakte wachtwoorden kunnen inloggen op je accounts.