Die Passwörter von mehreren hundert Millionen Facebook-Nutzern wurden im Klartext auf den Unternehmensservern gespeichert. Das Sicherheitsproblem dürfte vor allem Nutzer in Schwellen- und Entwicklungsländern betreffen.
Erneut Sicherheitspanne bei Facebook
Das soziale Netzwerk Facebook hat erneut eine Sicherheitspanne eingeräumt. Das Unternehmen teilte mit, dass Passwörter von hunderten Millionen Nutzern von Facebook Lite sowie mehrere Millionen Passwörtern von anderen zu Facebook gehörenden Diensten im Klartext auf Facebooks Servern gespeichert wurden. Mitarbeiter des Unternehmens hätten also entgegen aller Richtlinien und akzeptierter Sicherheitspraxis auf die Passwörter zugreifen können. Zunächst hatte der Journalist Brian Krebs über den Vorfall berichtet.
Üblicherweise werden Passwörter als sogenannte Hashes gespeichert. Ein Hash ist eine mathematische Funktion, mit der Informationen codiert abgebildet werden können. Anders als bei einer Verschlüsselung kann bei einem Hash der Ausgangswert – also in diesem Fall das eigentliche Passwort - nicht mehr berechnet werden. Aus diesem Grund werden Passwörter üblicherweise als Hashwert in den Datenbanken von Unternehmen gespeichert. Beim Login-Vorgang wird dann der hinterlegte Hashwert mit dem Hashwert des eingegebenen Passworts verglichen. Die Passwörter wurden in diesem Fall aber wohl nicht in den Hauptdatenbanken des Unternehmens gespeichert, sondern vermutlich beim Login-Vorgang in der App versehentlich im Klartext mitgeschnitten und auf Facebooks Servern abgelegt.
„Auch wenn es sich möglicherweise um ein Versehen gehandelt hat, hat Facebook mit diesem Vorgehen klar gegen etablierte Sicherheitsstandards verstoßen“, kommentiert G DATA Security Evangelist Tim Berghoff den Vorfall. „Jetzt ist es an dem Unternehmen, die betroffenen Nutzer so schnell wie möglich zu informieren, um verlorenes Vertrauen wiederherzustellen.“
Betroffen ist vor allem Facebook Light
Betroffen ist nach Angaben von Facebook selbst vor allem der Dienst Facebook Light. Diese Version des Dienstes ist für Regionen mit langsamem Internetzugang optimiert. Die mehreren hundert Millionen betroffenen Nutzer sollen informiert werden. Außerdem sind nach Angaben von Facebook mehrere Millionen Nutzer der normalen Facebook-Plattform betroffen, sowie mehrere zehntausend Nutzer der ebenfalls zu Facebook gehörenden Plattform Instagram.
Nach Angaben von Facebook hat es keinen Zugriff auf die Informationen von außerhalb des sozialen Netzwerkes gegeben. Auch ein interner Missbrauch der vertraulichen Daten habe nicht stattgefunden. Der Fehler sei bei einer „Routineüberprüfung“ im Januar dieses Jahres aufgefallen und mittlerweile behoben worden.
Facebook steht seit Jahren für seinen teils laxen Umgang mit dem Datenschutz der Nutzer in der Kritik. Gleichzeitig entwickelt das Sicherheitsteam des Unternehmens immer wieder innovative Sicherheitslösungen für Nutzer und bietet zum Beispiel den Zugang zu Facebook über das Tor-Netzwerk mittels eines Onion-Services an. Im September 2018 war bekannt geworden, dass es Hackern gelungen war, Nutzerdaten zu rund 50 Millionen Facebook-Konten zu erlangen.
Für Nutzer, die in den kommenden Tagen nicht aktiv von Facebook benachrichtigt werden, besteht kein akuter Handlungsbedarf. Sie sollten aber trotzdem die gängigen Hinweise zur Erstellung sicherer Passwörter berücksichtigen und die von Facebook angebotene Zwei-Faktor-Authentifizierung nutzen.
Hauke Gierow
Head of Corporate Communications