IT-Sicherheit Facebook-Mitarbeiter konnten Hunderte Millionen Passwörter lesen

Facebook hat in den vergangenen Jahren immer wieder mit Datenskandalen Schlagzeilen gemacht.

(Foto: REUTERS)
  • Facebook hat jahrelang Passwörter von Nutzern intern gespeichert, ohne sie zu verschlüsseln.
  • Tausende Mitarbeiter konnten einem Bericht zufolge auf diese im Klartext gespeicherten Kennwörter zugreifen.
  • Facebook will betroffene Nutzer informieren, sagt aber, diese müssten ihre Passwörter nicht aktualisieren.

Eigentlich sollten Unternehmen die Passwörter ihrer Nutzer verschlüsselt speichern. Facebook hat das einem Bericht zufolge nicht konsequent getan. Hunderte Millionen Passwörter für die Apps Facebook, Instagram und Facebook Lite, die der Konzern für Nutzer mit wenig Bandbreite und einfacheren Smartphones gebaut hat, waren im Klartext auf internen Systemen einzusehen.

Facebook bestätigte einen entsprechenden Bericht des Reporters Brian Krebs, der auf IT-Sicherheit spezialisiert ist. Das Unternehmen erklärte, die Passwörter seien aber für niemanden außerhalb des Unternehmens sichtbar gewesen. Offenbar lagen die Passwörter zwar grundsätzlich verschlüsselt bei Facebook. Wenn Mitglieder die Dienste nutzten, wurden jene Passwörter allerdings mit anderen Daten übertragen und ungeschützt von Facebook erfasst.

Nutzer werde das Unternehmen informieren. "Wir gehen davon aus, dass wir Hunderte Millionen Nutzer von Facebook Lite, Dutzende Millionen weitere Facebook-Nutzer sowie Zehntausende Instagram-Nutzer benachrichtigen werden", erklärte das Unternehmen. Ihre Passwörter müssten sie aber nicht zurücksetzen.

Bis zu 600 Millionen Passwörter betroffen

Krebs schreibt von 20 000 Facebook-Mitarbeitern, die die Passwörter hätten einsehen können. Er beruft sich auf einen Insider, laut dem 2000 Mitarbeiter intern etwa neun Millionen Suchanfragen gestellt hätten, mit denen sie auf die Passwörter im Klartext hätten stoßen können. Die Quelle habe die Zahl der offenliegenden Passwörter mit 200 Millionen bis 600 Millionen angegeben.

Diese Zahlen bestätigte das Unternehmen nicht. Man habe weder Hinweise gefunden, dass Mitarbeiter unzulässigerweise auf die Passwörter zugegriffen hätten, noch dass die Passwörter missbraucht worden seien. Der Fehler sei nun behoben. Er sei im Januar bei einer Routineprüfung aufgefallen. Schuld sollen Facebook-Mitarbeiter gewesen sein, die keine verschlüsselte Speicherung von Passwörtern in ihre Programme eingebaut hätten. Die Archiv-Dateien mit unverschleierten Passwörtern gingen bis ins Jahr 2012 zurück, schreibt IT-Experte Krebs.

Wer sein Passwort trotz Facebooks Entwarnung ändern will, kann das hier auf Facebook und hier auf Instagram tun. Mehr Tipps zur Sicherheit im Netz lesen Sie hier:

IT-Sicherheit Zehn Regeln für Ihre digitale Sicherheit

Privatsphäre

Zehn Regeln für Ihre digitale Sicherheit

Die geleakten Datensätze zeigen: Selbst, wer sich selbst für vollkommen uninteressant hält, besitzt Daten über Dritte, die er schützen muss. Die wichtigsten Grundregeln im Überblick.   Von Simon Hurtz