Facebook selama ini menyimpan kata sandi penggunanya dalam teks biasa tanpa proteksi, seperti dilaporkan Krebs on Security. Menurut laporan, ada setidaknya 20 ribu karyawan Facebook yang dapat mengakses basis data kata sandi tersebut, baik yang tersimpan melalui aplikasi Facebook, Facebook Lite, dan Instagram.
Facebook telah mengonfirmasi laporan ini, dan menyatakan bahwa isu tersebut telah ditemukan sejak Januari lalu dan saat ini telah diselesaikan. Facebook akan mengabari semua pengguna yang terdampak, yang dilaporkan berjumlah antara 200 hingga 600 juta pengguna.
Facebook menjelaskan bahwa basis data kata sandi yang disimpannya dalam teks biasa tidak pernah tersebar ke luar perusahaan, atau pernah disalahgunakan oleh karyawan internal. Facebook, meski begitu, menyarankan pengguna yang terdampak untuk mengganti kata sandi mereka demi mengamankan akun yang dimiliki.
Krebs on Security juga melaporkan bahwa karyawan Facebook telah mengakses basis data kata sandi tersebut sejak 2012 lalu. Menurut laporan, ada setidaknya 2 ribu karyawan Facebook yang membuat hampir 9 juta kueri untuk mengaksesnya. Tujuan dari akses tersebut tidak diungkapkan oleh Facebook.
Kata sandi pengguna seharusnya disimpan menggunakan enkripsi untuk mencegah aksi peretasan dan penyalahgunaan oleh karyawan perusahaan. Proses ini dikenal dengan sebutan password hashing. Selain itu, untuk meminimalkan dampak dari insiden seperti ini, pengguna perlu menggunakan kata sandi yang berbeda untuk setiap akun yang dimiliki.
