Facebook-Mitarbeiter konnten Hunderte Millionen Passwörter lesen

21. März 2019, 17:45 Uhr IT-Sicherheit 

Facebook hat in den vergangenen Jahren immer wieder mit Datenskandalen Schlagzeilen gemacht.
(Foto: REUTERS)

 

• Facebook hat jahrelang Passwörter von Nutzern intern gespeichert, ohne sie zu verschlüsseln.
• Tausende Mitarbeiter konnten einem Bericht zufolge auf diese im Klartext gespeicherten Kennwörter zugreifen.
• Facebook will betroffene Nutzer informieren, sagt aber, diese müssten ihre Passwörter nicht aktualisieren.

Eigentlich sollten Unternehmen die Passwörter ihrer Nutzer verschlüsselt speichern. Facebook hat das einem Bericht zufolge nicht konsequent getan. Hunderte Millionen Passwörter für die Apps Facebook, Instagram und Facebook Lite, die der Konzern für Nutzer mit wenig Bandbreite und einfacheren Smartphones gebaut hat, waren im Klartext auf internen Systemen einzusehen.

Facebook bestätigte einen entsprechenden Bericht des Reporters Brian Krebs, der auf IT-Sicherheit spezialisiert ist. Das Unternehmen erklärte, die Passwörter seien aber für niemanden außerhalb des Unternehmens sichtbar gewesen. Offenbar lagen die Passwörter zwar grundsätzlich verschlüsselt bei Facebook. Wenn Mitglieder die Dienste nutzten, wurden jene Passwörter allerdings mit anderen Daten übertragen und ungeschützt von Facebook erfasst.
Nutzer werde das Unternehmen informieren. "Wir gehen davon aus, dass wir Hunderte Millionen Nutzer von Facebook Lite, Dutzende Millionen weitere Facebook-Nutzer sowie Zehntausende Instagram-Nutzer benachrichtigen werden", erklärte das Unternehmen. Ihre Passwörter müssten sie aber nicht zurücksetzen.

Bis zu 600 Millionen Passwörter betroffen

Krebs schreibt von 20 000 Facebook-Mitarbeitern, die die Passwörter hätten einsehen können. Er beruft sich auf einen Insider, laut dem 2000 Mitarbeiter intern etwa neun Millionen Suchanfragen gestellt hätten, mit denen sie auf die Passwörter im Klartext hätten stoßen können. Die Quelle habe die Zahl der offenliegenden Passwörter mit 200 Millionen bis 600 Millionen angegeben.
Diese Zahlen bestätigte das Unternehmen nicht. Man habe weder Hinweise gefunden, dass Mitarbeiter unzulässigerweise auf die Passwörter zugegriffen hätten, noch dass die Passwörter missbraucht worden seien. Der Fehler sei nun behoben. Er sei im Januar bei einer Routineprüfung aufgefallen. Schuld sollen Facebook-Mitarbeiter gewesen sein, die keine verschlüsselte Speicherung von Passwörtern in ihre Programme eingebaut hätten. Die Archiv-Dateien mit unverschleierten Passwörtern gingen bis ins Jahr 2012 zurück, schreibt IT-Experte Krebs.

Полная версия: https://www.sueddeutsche.de/digital/facebook-daten-passwoerter-unverschluesselt-1.4378517?sc_src=email_611507&sc_lid=67686520&sc_uid=H4d5kvO9dN&sc_llid=1520&utm_medium=email&utm_source=emarsys&utm_content=www.sueddeutsche.de%2Fdigital%2Ffacebook-daten-passwoerter-unverschluesselt-1.4378517&utm_campaign=Espresso+am+Morgen+22.03.19