Neuer Datenskandal Facebook hat Hunderte Millionen Passwörter nicht gesichert
Passwörter von vielen Millionen Facebook-Nutzern sind für Mitarbeiter des Online-Netzwerks im Klartext zugänglich gewesen. Betroffen sind vor allem die Nutzer einer bestimmten Facebook-Version.
"Wir gehen davon aus, dass wir hunderte Millionen Nutzer von Facebook Lite, Dutzende Millionen weitere Facebook-Nutzer sowie zehntausende Instagram-Nutzer benachrichtigen werden", erklärte der Konzern am Donnerstag.
Facebook habe keine Hinweise darauf, dass jemand intern missbräuchlich darauf zugegriffen habe, hieß es weiter. Die Passwörter seien auch für niemanden außerhalb des Unternehmens sichtbar gewesen.
Betroffene Nutzer sollen "als Vorsichtsmaßnahme" benachrichtigt werden, obwohl es keinen Hinweis auf einen Missbrauch der Daten gebe. Sie sollten ihr Passwort umgehend ändern und möglichst eine Zwei-Schritt-Authentifizierung einrichten.
Die Passwörter hätten eigentlich auch intern nicht lesbar gespeichert sein dürfen. Der Fehler sei bei einer Routine-Prüfung im Januar 2019 aufgefallen. Er sei inzwischen behoben worden – Facebook machte keine Angaben dazu, wann genau.
"Facebook Lite" besonders betroffen
"Facebook Lite" ist eine abgespeckte Version für Nutzer des Online-Netzwerks in Regionen mit langsamen Internet-Leitungen. Sie ist in Deutschland nicht weit verbreitet.
Kurz vor der Facebook-Mitteilung hatte der IT-Sicherheitsexperte Brian Krebs in seinem Blog von dem Fall berichtet. Er schrieb unter Berufung auf einen nicht namentlich genannten Facebook-Insider, mehr als 20.000 Mitarbeiter des Online-Netzwerks hätten Zugriff auf die im Klartext gespeicherten Passwörter haben können. Insgesamt könnten 200 bis 600 Millionen Facebook-Nutzer betroffen sein.
- Anleitung: So löschen Sie Ihren Facebook-Account
- Facebook: Entwickler hatten Zugang zu privaten Daten
- Datenpanne: Facebook verteilt Fotos an 1.500 Apps
Daten gehen bis 2012 zurück
Die Archiv-Dateien mit unverschleierten Passwörtern gingen bis ins Jahr 2012 zurück, hieß es bei Krebs weiter. Laut Logdaten hätten rund 2.000 Entwickler rund neun Millionen interne Abfragen für Daten-Elemente gemacht, die ungeschützte Passwörter enthielten, schrieb der Sicherheitsexperte unter Berufung auf den Firmen-Insider. Facebook machte dazu zunächst keine Angaben.
Ein ehemaliger Facebook-Techniker, der nicht namentlich genannt werden wollte, sagte der Website "Motherboard", für ihn klinge das nach einem unbeabsichtigten Fehler. Besonders wenn der Zugang zu Nutzerdaten in einem Unternehmen stark eingeschränkt sei, könne es lange dauern, bis so ein Fehler entdeckt werde. Auch Twitter und die Programmierer-Website "GitHub" hatten 2018 Fehler eingeräumt, durch die Passwörter intern im Klartext gespeichert worden waren.
Lange Reihe von Datenskandalen
Facebook musste in den vergangenen Monaten wiederholt Datenpannen melden. So hatten im September hunderte Apps mehrere Tage lang zu weitreichenden Zugriff auf Fotos von mehreren Millionen Mitgliedern des Online-Netzwerks gehabt. Durch einen anderen Fehler hatten mehrere Millionen Nutzer ihre Beiträge möglicherweise ungewollt mit der ganzen Welt geteilt - statt nur mit Freunden. Und bei einem Hackerangriff wurden 14 Millionen Nutzern zum Teil sehr private Daten gestohlen. Dazu gehörten die zehn letzten Orte, an denen sie sich über Facebook angemeldet hatten oder von anderen Nutzern markiert wurden, und die 15 jüngsten Suchanfragen bei dem Online-Netzwerk. Die Hacker hatten eine komplexe Sicherheitslücke ausgenutzt.
Konstantin von Notz, Stellvertretender Fraktionsvorsitzender der Grünen, kommentierte die neue "Datenpanne" von Facebook so: "Die jüngsten Meldungen fügen sich nahtlos in das Bild eines Konzerns ein, der seit Jahren die eigenen Profitinteressen vor den notwendigen Schutz seiner Nutzerinnen und Nutzer stellt. Dass ein milliardenschweres Unternehmen wie Facebook Hunderte Millionen Passwörter unverschlüsselt speichert und Zehntausenden Mitarbeitern den Zugriff gewährt, macht schlicht fassungslos. Es zeigt, dass der Konzern trotz aller vollmundigen Versprechen noch immer nicht begriffen hat, welche Bedeutung dem Datenschutz und der IT-Sicherheit im digitalen Zeitalter zukommt.
Von Notz: Das macht schlicht fassungslos
Dies ist auch das Resultat einer Politik der Bundesregierung, die es über Jahre verpasst hat, Techgiganten wie Facebook klare Grenzen zu setzen. Leidtragende dieser unverantwortlichen Politik sind Millionen von Menschen, die vom jüngsten Datenskandal betroffen sind. Die zuständigen Aufsichtsbehörden müssen dem Fall nun in aller Entschlossenheit nachgehen. Hierbei müssen auch Strafen und andere Sanktionsmechanismen intensiv geprüft werden. Eine andere Sprache scheint Facebook nicht zu verstehen.“
- Nachrichtenagentur dpa
- Krebs on Security-Artikel (engl.)
- Pressemitteilung der Grünen