Facebook speichert mehrere Hundert Millionen Passwörter im Klartext

Facebook hat einen neuen gravierenden Fehler beim Umgang mit den Daten seiner Nutzer eingeräumt. Das Social Network bestätigte, dass über einen nicht näher genannten Zeitraum Passwörter von Mitgliedern des Social Network sowie Nutzern seiner Apps im Klartext gespeichert waren. Zuvor hatte der Sicherheitsexperte Brian Krebs bereits über den neuerlichen Datenskandal berichtet.

Seinen Quellen zufolge sind mehrere Hundert Millionen Facebook-Nutzer betroffen. In einigen Fällen waren die Passwörter demnach schon seit 2012 unverschlüsselt auf internen Facebook-Servern abgelegt. Die Datenbank soll durchsuchbar und für Tausende Facebook-Mitarbeiter zugänglich gewesen sein.

Auslöser war nach Angaben eines leitenden Facebook-Mitarbeiters, der an der seit Januar laufenden Untersuchung des Vorfalls beteiligt sein soll, eine Serie von Sicherheitsverletzungen. Unter anderem sollen Mitarbeiter Apps entwickelt haben, die Passwörter unverschlüsselt aufzeichneten und speicherten. Facebook schätze die Zahl der Betroffenen auf 200 bis 600 Millionen. Deren Passwörter sollen für mehr als 20.000 Mitarbeiter einsehbar gewesen sein. Die Ermittlungen sind Krebs‘ Quelle zufolge aber noch nicht abgeschlossen.

Scott Renfro, Software Engineer bei Facebook, sagte im Gespräch mit KrebsOnSecurity, sein Unternehmen könne noch keine konkreten Zahlen vorlegen. „Wir haben bei unseren Untersuchungen bisher keine Fälle gefunden, in denen jemand absichtlich nach Passwörtern gesucht hat, noch haben wir Anzeichen für einen Missbrauch dieser Daten gefunden. In dieser Situation haben wir festgestellt, dass die Passwörter versehentlich protokolliert wurden, aber dass daraus kein tatsächliches Risiko entsteht.“ Man werde die Passwörter von Nutzern nur zurücksetzen, falls es definitive Anzeichen eines Missbrauchs gebe.

Ähnlich klingt auch die inzwischen von Facebook veröffentlichte offizielle Stellungnahme. Darin heißt es, die ungesicherten Kennwörter seien bei einer routinemäßigen Sicherheitsprüfung im Januar gefunden worden. Der Fehler sei sofort korrigiert worden und man werde nun alle Betroffenen informieren.

„Um es klar zu sagen, die Passwörter waren nie für irgendjemand außerhalb von Facebook sichtbar und wir haben bisher keine Hinweise dafür gefunden, dass sie von irgendjemand intern missbraucht wurden“, schreibt Pedro Canahuati, Vice President des Bereichs Engineering, Security and Privacy bei Facebook. Man werde wahrscheinlich mehrere Hundert Millionen Nutzer der App Facebook Lite, mehrere Zehn Millionen Facebook-Nutzer und ebenfalls mehrere Zehn Millionen Instagram-Nutzer informieren müssen.

Trotz der Beteuerungen von Facebook kann derzeit nicht ausgeschlossen werden, dass zumindest wenige Passwörter zumindest kompromittiert wurden. Auch wenn man Facebook an sich als vertrauenswürdig einstuft, sollte man dieses Vertrauen nicht automatisch auf Tausende von Mitarbeitern des Unternehmens ausweiten. Von daher sollten vor allem Nutzer, die ihr Facebook-Passwort auch für Konten anderer Dienste einsetzen oder besonders „vertrauliche“ Informationen in ihrem Facebook-Konto hinterlegt haben, die Einrichtung eines neuen Kennworts in Betracht ziehen.

Erst kürzlich hatte eine Studie ergeben, dass Programmierer häufig bei der Passwortsicherheit schlampen. Selbst wenn im Anforderungskatalog eine sichere Speicherung von Kennwörtern gefordert wird, wird diese nicht immer von den Entwicklern korrekt umgesetzt. Bei einem Test lieferten 18 von 43 freiberuflichen Entwicklern Code ab, der Passwörter im Klartext speicherte. Mehr als die Hälfte der Programmierer setzte zudem sogar im nachgebesserten Code auf als unsicher geltende Verschlüsselungsverfahren.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Digitale Matching-Plattform für Unternehmen und IT-Freelancer

Damit IT-Freelancer und Unternehmen einfacher zueinander finden, hat der Personaldienstleister Hays die Matching-Plattform "Tribeworks" gelauncht.

9 Stunden ago

Mit ChatGPT und Dall-E richtig starten

Kostenloses Webinar der Online-Marketing-Academy am 18.7. zum Einstieg in KI-Tools.

9 Stunden ago

Podcast: Geschäftsprozesse mit generativer KI automatisieren

Wie sich unstrukturierte Daten unter anderem für die Automatisierung von Rechnungsprozessen nutzen lassen, erklärt Ruud…

9 Stunden ago

Was macht Check Point als attraktiver Arbeitgeber aus?

Kim Forsthuber von Checkpoint erklärt, wie sie zum Security-Anbieter gekommen ist und was sie an…

2 Tagen ago

Android-Malware Rafel RAT aufgedeckt

Bösartiges Tool wird für Spionage, Fernzugriff, Datenklau und Ransomware verwendet. Check Point-Sicherheitsforscher beobachten Angriffe in…

2 Tagen ago

US-Regierung verhängt Verkaufsverbot gegen Kasperskys Antivirensoftware

Es tritt bereits im Juli in Kraft. Ab Ende September wird auch der Wiederverkauf von…

2 Tagen ago