Facebook-appar lagrade miljontals lösenord i klartext

När det gäller säkerhet och användarnas integritet har Facebook inte direkt rosat marknaden de senaste åren. Den stora Cambridge Analytica-skandalen är toppen på ett isberg av kontroverser, och det verkar inte som att snedstegen är över riktigt än.

Läs också: Flera appar delar i smyg känsliga uppgifter med Facebook Säkerhetsexperten Brian Krebs har publicerat en oroväckande rapport om att Facebook har lagrat användares inloggningsuppgifter i klartext på de egna servrarna. Detta har inneburit att anställda ingenjörer haft full tillgång till uppgifterna, tillgång de ska ha använt över nio miljoner gånger enligt en senior Facebook-ingenjör som pratat med Brian Krebs anonymt.

Facebooks chef för säkerhet och integritet, Pedro Canahuati, har i ett blogginlägg skrivit att säkerhetsbristen upptäcktes i en rutinkontroll i januari och att bristen åtgärdats sedan dess. Han menar vidare att inloggningsinformationen aldrig varit synlig utanför företagets servrar, och att det inte finns några tecken på att informationen använts på något otillbörligt sätt av Facebook-anställda.

Resurssnåla Facebook Lite är en av apparna som drabbats av säkerhetsbristen.

Bristen ska också varit begränsad till användare av appen Facebook Lite, en bantad version av den fullstora Facebook-appen där såväl appens storlek som mängden lokala beräkningar och datatrafik har reducerats. Facebook Lite används primärt i regioner där enklare telefoner används och de mobila nätverken är mindre utbyggda.

I regioner där uppkopplingarna är begränsade till 2G eller 3G som mest blir behovet av Facebook Lite större än på svenska marknaden där snabba 4G-uppkopplingar är utbredda. Men Facebook Lite används dock på andra håll av användare som inte vill ha en så tungrodd app som den vanliga Facebook-appen, och för den som använder Lite kan det vara värt att ändra lösenordet för säkerhets skull.

Det var dock inte bara Facebook Lite-appen som påverkades av detta. Även Instagram och vissa andra användare av vanliga Facebook-appen loggades i klartext. Enligt Krebs rapport har lösenord lagrats på detta sätt från 2012 fram till i januari i år. Facebooks Pedro Canahuati rekommenderar att användare går in i Facebook- eller Instagram-appen och ändrar sitt lösenord till något man inte använder på andra enheter, och att man aktiverar tvåfaktorautentisering.

Facebook inleder året med kontrovers alltså, det återstår att se hur mycket mer av den här varan vi har att vänta oss.

Källa: Krebs on Security