T-Mobile Austria、パスワードを平文で保存しているとツイートし騒動に
2018年4月13日 12:26
headless曰く、 T-Mobile Austria(オーストリア)の公式Twitterアカウント(@tmobileat)がユーザーパスワードを平文で保存しているとツイートしたことで、各国の系列会社が次々に「うちは違う」との返信を投稿する事態となった(Neowin)。
発端となったのはDeutsche Telekom(ドイツ)のユーザーパスワードに関する制約を問題視するツイートに対し、T-Mobile Austriaでは従業員がパスワードを確認できることから平文で保存しているらしいとの返信が寄せられたことだ。
この返信を引用する形でツイート主が事実関係をT-Mobile Austriaに確認すると、サービスチームの一人 (Kathe)が「カスタマーサービス担当者はパスワードの最初の4文字を見る(ことができる)。ログインに必要なのでパスワード全体を保存している」といった趣旨の回答をする。さらに、ツイート主や他のユーザーからパスワードの平文保存を問題視する返信に対し、Katheは「何が問題なのか理解できない」「パスワードは安全に保存されているので心配ない」「(同社の)従業員からの警告なのか?」などと返信している。
Katheからの返信はこれで終わっているが、T-Mobile US(米国、@TMobileHelp/@TMobile)やT-Mobile Nederland(オランダ、@tmobile_webcare)、Deutsche Telekom(@Telekom_hilft)の公式アカウントがこの問題を懸念する各国のユーザーに対し、「パスワードは暗号化して(ハッシュ化して)保存しており、従業員が平文のパスワードにアクセスすることはできない」といった内容の返信を繰り返し投稿。@TMobileでは「T-Mobile USはT-Mobile Austriaとは独立して運営されている」とまで投稿している。
T-Mobile Austriaではこの件について、「データベースは暗号化して安全に保存されており、データ侵害はない」とサービスチームの別のメンバー (Helmut)が別途ツイートしている。また、セキュリティ基準について真剣に議論し、必要があればさらに保護を強めていくとも述べている。