Unverschlüsselte Passwörter

Sicherheitspanne bei Facebook

Mehrere hundert Millionen Facebook-Passwörter sollen im Klartext zugänglich gewesen sein. Betroffene Nutzer sollen über den Vorfall benachrichtigt werden.

Das Facebook-Logo

Insgesamt könnten 200 bis 600 Millionen Facebook-Nutzer betroffen sein. ((Foto: Fabian Sommer))

„Wir gehen davon aus, dass wir hunderte Millionen Nutzer von Facebook Lite, Dutzende Millionen weitere Facebook-Nutzer sowie zehntausende Instagram-Nutzer benachrichtigen werden“, erklärte das Unternehmen am Donnerstag. Facebook habe keine Hinweise darauf, dass jemand intern missbräuchlich darauf zugegriffen habe, hieß es weiter. Die Passwörter seien auch für niemanden außerhalb des Unternehmens sichtbar gewesen.

Die betroffenen Nutzer sollen dennoch „als Vorsichtsmaßnahme“ benachrichtigt werden, obwohl es keinen Hinweis auf einen Missbrauch der Daten gebe. Die Passwörter hätten eigentlich auch intern unkenntlich sein müssen. Der Fehler sei bei einer Routine-Prüfung im Januar aufgefallen. Er sei inzwischen behoben worden - Facebook machte keine Angaben dazu, wann genau.

Facebook Lite ist eine abgespeckte Version für Nutzer des Online-Netzwerks in Regionen mit langsamen Internet-Leitungen.

Kurz vor der Facebook-Mitteilung hatte der IT-Sicherheitsexperte Brian Krebs in seinem Blog von dem Fall berichtet. Er schrieb unter Berufung auf einen nicht namentlich genannten Facebook-Insider, mehr als 20.000 Mitarbeiter des Online-Netzwerks hätten Zugriff auf die im Klartext gespeicherten Passwörter haben können. Insgesamt könnten 200 bis 600 Millionen Facebook-Nutzer betroffen sein.

Die Archiv-Dateien mit unverschleierten Passwörtern gingen bis ins Jahr 2012 zurück, hieß es bei Krebs weiter. Laut Logdaten hätten rund 2000 Entwickler etwa neun Millionen interne Abfragen für Daten-Elemente gemacht, die ungeschützte Passwörter enthielten, schrieb der Sicherheitsexperte unter Berufung auf den Firmen-Insider. Facebook machte dazu zunächst keine Angaben.

Ein ehemaliger Facebook-Techniker, der ebenfalls nicht namentlich genannt werden wollte, sagte der Website „Motherboard“, für ihn klinge das nach einem unbeabsichtigten Fehler. Und gerade wenn Zugang zu Nutzerdaten in einem Unternehmen stark eingeschränkt sei, könne es lange dauern, bis so ein Fehler entdeckt werde. Auch Twitter und die Programmierer-Website GitHub hatten im vergangenen Jahr Fehler eingeräumt, durch die Passwörter intern im Klartext gespeichert worden waren.

Der Hamburger Datenschützer Johannes Caspar hat eine rasche Aufklärung gefordert. „Insbesondere geht es um Verstöße gegen die Verpflichtung der sicheren Datenverarbeitung und der unverzüglichen Meldung von Datenschutzverstößen bei der zuständigen Behörde“, erklärte Caspar der dpa. Die seit vergangenem Mai greifende europäische Datenschutzgrundverordnung (DSGVO) sieht unter anderem eine Meldefrist von 72 Stunden vor.

Allerdings müssen Behörden in dem Fall auch grundsätzlich die Frage beantworten, inwieweit ein Sachverhalt wie bei der aktuellen Panne eine Datenschutzverletzung darstellt. Caspar begrüßte zugleich, dass EU-Justizkommissarin Vera Jourova mit einem Aufruf zum Verlassen von Facebook eine deutliche Position bezogen habe. „Solange das Werbenetzwerk sich mit der Seriosität von staatlichen Institutionen bis hin zu Rundfunkanstalten und politischen Parteien schmücken kann, ist keine Änderung im Umgang mit Nutzerdaten zu erwarten“, betonte er.

 

Barley riet allen Nutzern, die Passwörter zu ändern. „Facebook übernimmt immer erst dann Verantwortung, wenn das Unternehmen dazu gezwungen wird“, kritisierte sie. „Passwörter unverschlüsselt zu speichern, zugänglich für tausende Mitarbeiter - eine so erschreckende Unprofessionalität hätte man Facebook kaum zugetraut.“

Auch Kelber, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, empfahl Nutzern eine Passwort-Änderung. „Der aktuelle Skandal belegt, dass Facebook das Thema Datenschutz immer noch stiefmütterlich behandelt“, erklärte er. Datenschutz-Vorfälle bei dem Online-Netzwerk seien keine Überraschung mehr. „Skandalös ist allerdings, dass einer der weltweit größten IT-Konzerne offensichtlich nicht weiß, wie Kundenpasswörter gespeichert werden müssen.“ Damit habe Facebook die Nutzer einem unnötigen Risiko ausgesetzt.

Facebook musste in den vergangenen Monaten wiederholt Datenpannen melden. So hatten im September hunderte Apps mehrere Tage lang zu weitreichenden Zugriff auf Fotos von mehreren Millionen Mitgliedern des Online-Netzwerks gehabt. Durch einen anderen Fehler hatten mehrere Millionen Nutzer ihre Beiträge möglicherweise ungewollt mit der ganzen Welt geteilt - statt nur mit Freunden. Und bei einem Hackerangriff wurden 14 Millionen Nutzern zum Teil sehr private Daten gestohlen. Dazu gehörten die 10 letzten Orte, an denen sie sich über Facebook angemeldet hatten oder von anderen Nutzern markiert wurden, und die 15 jüngsten Suchanfragen bei dem Online-Netzwerk. Die Hacker hatten eine komplexe Sicherheitslücke ausgenutzt.

dpa/pf

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok