Facebook: Millionen Passwörter unverschlüsselt gespeichert

Michael Günsch 179 Kommentare
Facebook: Millionen Passwörter unverschlüsselt gespeichert
Bild: Hamza Butt | CC BY 2.0

Erst vor Kurzem hatte Facebook-CEO Mark Zuckerberg mehr Datenschutz beim sozialen Netzwerk Facebook versprochen und dann das: Das Unternehmen gab nun bekannt, dass die Passwörter von hunderten Millionen Anwendern unverschlüsselt und damit im Klartext auf internen Servern gespeichert wurden.

Laut der offiziellen Mitteilung von Facebook sollen „hunderte Millionen Nutzer von Facebook Light, zig Millionen andere Facebook-Nutzer und zehntausende Instagram-Nutzer“ davon unterrichtet werden, dass ihr Passwort von dem Vorfall betroffen ist. Facebook habe bereits bei einer „Routine-Sicherheitsprüfung“ im Januar festgestellt, dass „einige Passwörter“ fälschlicherweise in einem lesbaren Format auf internen Datenspeichern des Unternehmens abgelegt wurden, statt in verschlüsselter Form. Inzwischen habe man den Fehler zwar behoben, doch würden betroffenen Anwender zur Sicherheit nun darüber in Kenntnis gesetzt, so Facebook.

Facebook-Mitarbeiter konnten Passwörter einsehen

Das Unternehmen versichert, dass die Passwörter nicht außerhalb des Unternehmens einsehbar waren und es keinerlei Hinweise darauf gebe, dass sie von Mitarbeitern missbräuchlich genutzt wurden. Dennoch ist es ratsam, dass betroffene Anwender ihre Passwörter auf Facebook und auf Instagram umgehend ändern. Die Empfehlungen, auf möglichst starke respektive komplexe sowie einzigartige Passwörter zu setzen, verstehen sich von selbst. Zudem ermutigt Facebook dazu, von zusätzlichen Maßnahmen wie einem Sicherheitsschlüssel oder der Zweifaktor-Authentifizierung Gebrauch zu machen.

Informant: Archive gehen bis ins Jahr 2012 zurück

Nach den Sicherheitsforschern von Krebs on Security vorliegenden Informationen wird die Zahl der betroffenen Accounts auf 200 bis 600 Millionen geschätzt. Laut einer anonymen Quelle aus Facebook-Kreisen hätten mehr als 20.000 Facebook-Mitarbeiter potentiell Zugriff auf die im Klartext gespeicherten Passwörter. Facebook würde intern noch ermitteln, wie viele Passwörter einsehbar waren und auch für wie lange. Einige der Archive sollen bis ins Jahr 2012 zurückreichen.

Passwörter im Klartext auch bei GitHub und Twitter

Facebook ist nicht der erste Online-Riese mit einem solchen Vorfall. Letzten Mai hatte Twitter darüber informiert, dass Passwörter durch einen Fehler im Klartext in Logs gespeichert wurden und weltweit alle 330 Millionen Anwender dazu aufgerufen, ihr Passwort bei Twitter zur Sicherheit freiwillig anzupassen. Kurz zuvor hatte Github einen ähnlichen Vorfall gemeldet.

Update 19.04.2019 15:46 Uhr

In einem Update des Blogpost aus dem März hat Facebook die Zahl der betroffenen Nutzer nach oben korrigiert. Es seien weitere Log-Dateien mit Instagram-Passwörtern im Klartext gefunden worden. Facebook schätzt, dass „Millionen von Instagram-Nutzern“ davon betroffen sind. Zuvor hatte Facebook lediglich von „zehntausenden Instagram-Nutzern“ gesprochen.

Update on April 18, 2019 at 7AM PT: Since this post was published, we discovered additional logs of Instagram passwords being stored in a readable format. We now estimate that this issue impacted millions of Instagram users. We will be notifying these users as we did the others. Our investigation has determined that these stored passwords were not internally abused or improperly accessed

Auch diese Anwender sollen von dem Vorfall in Kenntnis gesetzt werden. Es gebe derzeit keine Hinweise auf einen Missbrauch der Daten, die lediglich innerhalb des Unternehmens einsehbar waren, beteuert Facebook.

Weitere Vorfälle bei Facebook, wie das Speichern von 540 Millionen Nutzerdaten auf einem ungesicherten Cloud-Speicher oder das ungefragte Sammeln von privaten E-Mail-Kontakten bei der Neuanmeldung, wurden allein in den letzten Wochen bekannt.