Nach Adobe-Hack: Facebook warnt Nutzer vor kompromittierten Passwörtern

Facebook untersucht, welche der 100 Millionen bei Adobe gestohlenen Kundendaten sich auch für ein Log-in auf seiner Site nutzen lassen. Das könnte der Fall sein, wenn sich Nutzer bei beiden Online-Angeboten mit dem gleichen Passwort angemeldet haben. Dies berichtet Krebsonsecurity.com; Facebook hat die Meldung bestätigt, ohne Details zu nennen.

Ergibt sich eine solche Möglichkeit des Log-ins, erhält der betroffene Anwender von Facebook eine E-Mail. Darin wird er darauf aufmerksam gemacht, dass sein Facebook-Konto in Gefahr ist. Er wird gebeten, Sicherheitsabfragen zu beantworten und anschließend sein Passwort zu ändern. Sicherheitshalber werde das Konto inzwischen versteckt, heißt es: „Niemand kann dich auf Facebook sehen, bis du diesen Vorgang abgeschlossen hast.“

Adobe hat im Oktober bestätigt, dass ihm 38 Millionen Kontodaten gestohlen wurden. Das von Facebook und anderen Sicherheitsforschern untersuchte Dokument enthält Berichten zufolge aber sogar über 150 Millionen Einträge. Die Zahl der Duplikate darunter ist strittig.

Die Passwörter waren verschlüsselt, aber nicht gehasht. Es wird angenommen, dass sie sich mit einem einzigen Schlüssel dechiffrieren lassen. Diverse besonders einfach gestrickte, kurze und daher unsichere Passwörter sind von Experten bereits enttarnt worden, ohne dass bisher der komplette Schlüssel vorläge.

Laut einem Kommentar von Facebook-Mitarbeiter Chris Long bei Krebsonsecurity.com nutzt das Soziale Netzwerk solche „bereits von Sicherheitsforschern identifizierte Passwörter“. Sie jage man durch den Code, der auch für die Passwortüberprüfung zum Zeitpunkt des Log-ins zum Einsatz komme. Der Prozess laufe automatisiert ab, weil man so etwas schon öfter gemacht habe.

Einen Check auf Doppler mit der eigenen Datenbank nehmen aktuell auch die E-Commerce-Firmen Diapers.com und Soap.com vor. Bei Adobe registrierte Nutzer können zudem selbst überprüfen, ob ihre Daten gestohlen wurden. Dies ermöglicht ein holländischer Student mit dem Online-Namen Lucb1e in Form eines Suchwerkzeugs. Der Nutzer kann dort einen Teil seiner Mailadresse (etwa seinen Domainnamen) oder auch die ganze Adresse eingeben. Die Ergebnisse liegen nicht sofort vor, aber eine Suche erfolgt etwa zweimal täglich. Der Anwender kann sich das Resultat auch zuschicken lassen. Es besteht schlicht aus der Zahl der Mail-Konten, die den Suchbegriff aufweisen.

[mit Material von Liam Tung und Violet Blue, ZDNet.com]

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Konsolidierte und strukturierte Daten für medizinische Versorgung

Telekom und vitagroup stellen Kliniken offene Plattform zur Verfügung, die Gesundheitsdaten unabhängig von einzelnen Herstellern…

9 Stunden ago

Zahl der Webauftritte sinkt wieder

Auch 2023 war kein gutes Jahr für die Hoster von KMU-Webseiten. Erneut schlossen viele Mittelständler…

9 Stunden ago

Pwn2Own: Google verteilt Sicherheitsupdate für Chrome

Es schließt zwei schwerwiegende Lücken, die eine Remotecodeausführung erlauben. Darüber hinaus stopft Google ein kritisches…

1 Tag ago

IT-Verzicht fürs Klima – wie viele sind dazu bereit?

Der Digitalverband Bitkom hat 1.000 Deutsche danach befragt, auf welche Angebote sie aus Gründen des…

1 Tag ago

BSI warnt Microsoft-Exchange-Nutzer

Laut Bundesamt sind mindestens 17.000 Instanzen in Deutschland durch eine oder mehrere kritische Schwachstellen verwundbar.

1 Tag ago

Apple kündigt Entwicklerkonferenz WWDC 2024 für 10. Juni an

Die Veranstaltung startet wie in jedem Jahr mit einer Keynote. Apple verspricht Neuerungen für alle…

1 Tag ago