Allmänt

Facebook sparade miljontals lösenord i klartext

Miljontals lösenord kunde läsas i klartext av anställda på Facebook. Det framkommer i en ny rapport som avslöjar grava problem med säkerheten på miljardföretaget.

  • Säkerhetsexpert: Det finns ingen giltig anledning för någon organisation, speciellt i Facebooks storlek, att ha åtkomst till användarnas lösenord i klartext.
  • Lösenorden i klartext fanns på Facebooks interna servrar och kunde inte nås av utomstående på något vis. Endast anställda kunde se och komma åt lösenord.
  • Facebook kontaktar flera hundra miljoner användare som är potentiellt drabbade av sårbarheten. Jag rekommenderar att du byter lösenord – även om du inte får ett mejl av Facebook.
  • Har sparat lösenord i klartext så långt tillbaka som 2012 enligt interna källor på Facebook.

Det är säkerhetsfirman Krebs on Security som avslöjar att Facebook lagrade miljontals lösenord i klartext för anställda att läsa. Något som Facebook senare också har bekräftat.

Även om Facebook inte går in i detalj på siffrorna så nämner de att flera hundra miljoner användare av Facebook Lite-appen ska kontaktas. Även tiotals miljoner användare av vanliga Facebook-appen kommer att få ett mejl inom kort.

Och om du använder Instagram kan bara det göra att du omfattas av säkerhetsläckan. Men här pratar Facebook endast om tiotusentals användare, vilket i sammanhanget är försvinnande få.

Om vi frågar Krebs on Security kan så många som 200 miljoner till 600 miljoner lösenord ha exponerats felaktigt. Kanske till och med fler. Enligt säkerhetsfirman har anonyma källor inom Facebook bekräftat att företaget försöker tona ner siffrorna så mycket de bara kan.

20 000 Facebook-anställda kunde se användares lösenord

I rapporten står att läsa om hur fler än 20 000 anställda på Facebook kunde se användarnas lösenord i klartext. En anonym anställd på Facebook säger att runt 2 000 anställda tillsammans har gjort nio miljoner (!) slagningar som rör lösenord i klartext från databaser.

Det går helt emot ett blogginlägg som Facebook har publicerat efter att incidenten blev känd. I inlägget menar företaget att inga anställda har upptäckts nyttja sårbarheten med lösenorden.

Blogginlägget säger även att inga lösenord har varit åtkomliga utanför Facebook. Och därför kommer företaget inte att kräva en lösenordsåterställning från användarnas sida. Något som jag nog ändå skulle rekommendera att du gör, oavsett om du får ett mejl om saken eller inte.

Det finns inga officiella uppgifter om hur länge lösenorden har kunnat läsas i klartext. Anonyma källor till Krebs on Security finns referenser så långt bak som 2012.

Därför ska du återställa ditt Facebook-lösenord

Även om Facebook påstår att ingen anställd har kommit åt lösenorden så bör du återställa ditt lösenord. Facebook gör allt för att tona ner händelsen, och det vore inte osannolikt att det hela är mycket större än vi känner till idag.

Därför är det viktigt att du återställer ditt lösenord och skapar ett nytt och säkert som du inte använt tidigare. Har du en lösenordshanterare som Lastpass eller Bitwarden så har de inbyggda lösenordsgeneratorer; annars kunde använda någon av de nedanstående alternativen:

Facebook har varit involverad i fler skandaler som rör användarnas integritet än jag kan räkna till. Den kanske största är ”Cambridge Analytica”-skandalen i mars 2018 som omfattar fler än 50 miljoner användare.

Det är viktigt att du inte litar på att ditt lösenord (eller någon data på Facebook överhuvudtaget egentligen) är helt säkert. Inte ens med tvåfaktorauktorisering via mobiltelefonen gör att du är helt säker. Facebook använder nämligen ditt mobilnummer för att spåra dig och läcker numret till andra användare.

Med det sagt rekommenderar jag tvåfaktorauktorisering ändå. Anledningen är enkel: det stoppar hackare som kommer åt ditt lösenord från att kunna nå kontot. Har du inte aktiverat så kallat 2FA-skydd än – gör det så fort du kan. Och byt lösenord!

Frågor och svar på viktiga frågor

Måste jag byta mitt Facebook-lösenord?

Det finns inget tvång på att byta ditt lösenord på Facebook. Men jag rekommenderar starkt att du gör det, och att du använder en bra lösenordsgenerator till hjälp.

Har anställda på Facebook haft åtkomst till mitt konto?

Sannolikt inte. Facebook har gått ut med att anställda inte haft direkt åtkomst till lösenorden (men de har varit sökbara). Dessutom är det en jämförelsevis liten del förfrågningar om lösenord i förhållande till hur många konton som faktiskt drabbas.

Vad kan jag göra för att förhindra liknande problem i framtiden?

Du kan inte skydda dig helt mot att företag brister i sina rutiner och i säkerheten. Vad du kan göra är att aktivera 2FA-skydd där det finns, och aldrig använda samma lösenord två gånger. Det ökar dina chanser att minska skadan vid eventuella hackerattacker och läckor.

Related Articles

Lämna ett svar

Din e-postadress kommer inte publiceras.

Back to top button