22. März 2019, 12:53 Uhr | Lesezeit: 4 Minuten
Der nächste Datenschutz-Skandal im Hause Facebook. Dank fehlender Verschlüsselung konnten Tausende Mitarbeiter über Jahre hinweg Hunderte Millionen Passwörter lesen.
Firmen die online operieren und dabei die Passwörter ihrer Nutzer speichern, sollten dies eigentlich verschlüsselt tun. Beim Tech-Giganten Facebook war das leider über sehr lange Zeit nicht der Fall, wie ein Bericht des Reporters Brian Krebs nun enthüllte. Dieser von Facebook bestätigte Report berichtet von mehreren Hundert Millionen Passwörtern für die Apps Facebook, Facebook Lite sowie Instagram, welche für Mitarbeiter in internen Systemen im Klartext frei einsehbar waren.
Per Pressemitteilung versicherte Facebook, dass die Passwörter für niemanden außerhalb des Konzerns sichtbar waren. „Wir gehen davon aus, dass wir Hunderte Millionen Nutzer von Facebook Lite, Dutzende Millionen weitere Facebook-Nutzer sowie Zehntausende Instagram-Nutzer benachrichtigen werden“, teilte das Unternehmen mit. Eine Änderung der Passwörter sei nicht zwingend erforderlich.
Lesen Sie auch: Hacker stellt über 500.000 geknackte Passwörter ins Netz!
Datenpanne betrifft bis zu 600 Millionen Accounts
Krebs, der auf IT-Sicherheit spezialisiert ist, schätz die Zahl der Facebook-Mitarbeiter, welche Zugriff auf die Passwörter hatten, auf rund 20.000 Personen und beruft sich dabei auf Angaben eines Firmen-Insiders. Demnach sollen in etwa 2000 Mitarbeiter intern ungefähr 9 Millionen Suchanfragen gestellt haben, bei deren Bearbeitung sie über die im Klartext dargestellten Passwörter hätten stolpern können. Die Zahl der ungeschützten Passwörter liege vermutlich irgendwo zwischen 200 Millionen und 600 Millionen, schätzte der Hinweisgeber.
Zahlen, welche Facebook selbst so nicht bestätigte. Vielmehr bemüht sich das soziale Netzwerk nun um Schadensbegrenzung und gab bekannt, es seien weder Hinweise gefunden worden, dass die Passwörter unzulässigerweise von Mitarbeitern abgegriffen wurden, noch seien die Passwörter in irgendeiner Form anderweitig missbraucht worden. Jedenfalls sei der Grund des Übels, welcher bereits im Januar während einer Routineprüfung bemerkt wurde, inzwischen ausgemerzt worden. Fehlerquelle waren scheinbar einige Mitarbeiter, die beim programmieren von Software keine verschlüsselte Speicherung von Passwörtern eingebaut hätten. Die Archiv-Dateien mit unverschleierten Passwörtern gingen bis ins Jahr 2012 zurück, schreibt IT-Experte Krebs.
„Fahrgäste, die sich in einem Taxi nicht anschnallen können“
Ulrich Kelber, Bundesdatenschutzbeauftragter für Datenschutz und Informationsfreiheit, kommentierte die Meldung vom neuesten Datenleak bei Facebook ohne jedes Verständnis: „Es ist zwar traurig, aber ein Datenschutzvorfall bei Facebook ist mittlerweile leider keine große Überraschung mehr. Skandalös ist allerdings, dass einer der weltweit größten IT-Konzerne offensichtlich nicht weiß, wie Kundenpasswörter gespeichert werden müssen.“
„Damit setzt Facebook seine Kunden einem unnötigen Risiko aus“, schreibt Kelber und bezichtigte das US-Unternehmen in einer Pressemitteilung der Fahrlässigkeit. „Das ist in etwa so, wie wenn sich Fahrgäste in einem Taxi nicht anschnallen können, weil der Fahrer nicht weiß, wie ein Sicherheitsgurt funktioniert.“ Der Sicherheitsexperte baue nun darauf, dass die amerikanischen und europäischen Datenschutzaufsichtsbehörden den Fall nun „penibel“ untersuchen werden.
„Zum einen muss geklärt werden, ob Facebook vorliegend gegen Meldevorschriften nach der Datenschutz-Grundverordnung verstoßen hat. Das Problem scheint ja bereits seit Januar bekannt gewesen zu sein“, merkte Kelber an. „Unabhängig davon wird die in Europa zuständige Irische Datenschutzbeauftragte sicherlich die Einleitung eines Bußgeldverfahrens prüfen.“
Messenger vor dem Aus? Facebook soll wieder Chat-Funktion bekommen
E-Mailadressen und Passwörter Hacker stellt 617 Millionen gestohlene Nutzeraccounts zum Verkauf
Nach neuer Panne Online-Netzwerk Google+ wird vorzeitig geschlossen
Pannenserie geht weiter
In den vergangenen Monaten meldete Facebook bereits wiederholt Datenpannen. Erst im vergangenen September hatten hunderte Apps mehrere Tage lang weitreichenden Zugriff auf Fotos von vielen Millionen Mitgliedern gehabt. Ein anderes Problem sorgte dafür, dass mehrere Millionen Nutzer ihre Beiträge möglicherweise ungewollt mit der ganzen Welt teilten. Darüber hinaus wurden bei einem Hackerangriff von ungefähr 14 Millionen Nutzern teils sehr private Daten gestohlen. Darunter waren die 10 letzten Orte, an denen sich der Nutzer über Facebook angemeldet hatte oder von anderen Nutzern markiert wurden, sowie die 15 jüngsten, im Online-Netzwerk gestarteten Suchanfragen. Auch hier hatten die Hacker eine bis dato unbekannte Sicherheitslücke genützt.