Eigentlich sollten Unternehmen die Passwörter ihrer Nutzer verschlüsselt speichern. Der Facebook-Konzern hat das nicht konsequent getan. Hunderte Millionen Passwörter für die Apps Facebook, Instagram und Facebook Lite - eine App des Konzerns für Nutzer mit wenig Bandbreite und einfacheren Smartphones - lagen im Klartext auf internen Systemen. Dort konnten Mitarbeiter des Unternehmens sie lesen.
Facebook bestätigte einen entsprechenden Bericht des Reporters Brian Krebs, der auf IT-Sicherheit spezialisiert ist. Das Unternehmen erklärte, die Passwörter seien aber für niemanden außerhalb des Unternehmens sichtbar gewesen. Betroffene Nutzer werde Facebook informieren. "Wir gehen davon aus, dass wir Hunderte Millionen Nutzer von Facebook Lite, Dutzende Millionen weitere Facebook-Nutzer sowie Zehntausende Instagram-Nutzer benachrichtigen werden." Das sei eine Vorsichtsmaßnahme. Ihre Passwörter müssten sie nicht zurücksetzen.
Krebs schreibt von 20 000 Facebook-Mitarbeitern, die die Passwörter hätten einsehen können. Er beruft sich auf einen Insider, demzufolge 2000 Mitarbeiter intern auch tatsächlich insgesamt etwa neun Millionen Suchanfragen gestellt hätten, mit denen sie auf die Passwörter im Klartext hätten stoßen können. Die Quelle habe die Zahl der offenliegenden Passwörter mit 200 Millionen bis 600 Millionen angegeben.
Diese Zahlen bestätigte das Unternehmen nicht. Man habe weder Hinweise gefunden, dass Mitarbeiter unzulässigerweise auf die Passwörter zugegriffen hätten, noch dass die Passwörter missbraucht worden seien. Der Fehler sei nun behoben. Facebook machte keine Angaben dazu, wann genau dies geschehen ist. Er sei im Januar bei einer Routineprüfung aufgefallen. Schuld sollen Facebook-Mitarbeiter gewesen sein, die keine verschlüsselte Speicherung von Passwörtern in ihre Programme eingebaut hätten. Die Archiv-Dateien mit unverschleierten Passwörtern gingen bis ins Jahr 2012 zurück, schreibt IT-Experte Krebs.
Der Konzern hat immer wieder Probleme gehabt, die Daten seiner Nutzer zu schützen. Heraus kam unter anderem, dass die Daten von etwa 87 Millionen Nutzern bei der zwielichtigen Analysefirma Cambridge Analytica gelandet waren, wo sie nicht hingehörten. Im Februar hatte das Bundeskartellamt Facebooks Sammeln und Verarbeiten von Nutzerdaten in Deutschland stark eingeschränkt. Das Unternehmen darf demnach Daten aus verschiedenen Quellen, etwa dem Messenger-Dienst Whatsapp und der Foto-Plattform Instagram, nur noch mit Zustimmung der Nutzer zusammenführen. Unter großem Druck hatte Konzernchef Mark Zuckerberg vor wenigen Wochen angekündigt, die Privatsphäre der Nutzer zu einem Fokus des sozialen Netzwerks zu machen.