Nach Adobe-Hack: Facebook warnt Nutzer vor kompromittierten Passwörtern

Facebook untersucht, welche der 100 Millionen bei Adobe gestohlenen Kundendaten sich auch für ein Log-in auf seiner Site nutzen lassen. Das könnte der Fall sein, wenn sich Nutzer bei beiden Online-Angeboten mit dem gleichen Passwort angemeldet haben. Dies berichtet Krebsonsecurity.com; Facebook hat die Meldung bestätigt, ohne Details zu nennen.

Ergibt sich eine solche Möglichkeit des Log-ins, erhält der betroffene Anwender von Facebook eine E-Mail. Darin wird er darauf aufmerksam gemacht, dass sein Facebook-Konto in Gefahr ist. Er wird gebeten, Sicherheitsabfragen zu beantworten und anschließend sein Passwort zu ändern. Sicherheitshalber werde das Konto inzwischen versteckt, heißt es: „Niemand kann dich auf Facebook sehen, bis du diesen Vorgang abgeschlossen hast.“

Adobe hat im Oktober bestätigt, dass ihm 38 Millionen Kontodaten gestohlen wurden. Das von Facebook und anderen Sicherheitsforschern untersuchte Dokument enthält Berichten zufolge aber sogar über 150 Millionen Einträge. Die Zahl der Duplikate darunter ist strittig.

Die Passwörter waren verschlüsselt, aber nicht gehasht. Es wird angenommen, dass sie sich mit einem einzigen Schlüssel dechiffrieren lassen. Diverse besonders einfach gestrickte, kurze und daher unsichere Passwörter sind von Experten bereits enttarnt worden, ohne dass bisher der komplette Schlüssel vorläge.

Laut einem Kommentar von Facebook-Mitarbeiter Chris Long bei Krebsonsecurity.com nutzt das Soziale Netzwerk solche „bereits von Sicherheitsforschern identifizierte Passwörter“. Sie jage man durch den Code, der auch für die Passwortüberprüfung zum Zeitpunkt des Log-ins zum Einsatz komme. Der Prozess laufe automatisiert ab, weil man so etwas schon öfter gemacht habe.

Einen Check auf Doppler mit der eigenen Datenbank nehmen aktuell auch die E-Commerce-Firmen Diapers.com und Soap.com vor. Bei Adobe registrierte Nutzer können zudem selbst überprüfen, ob ihre Daten gestohlen wurden. Dies ermöglicht ein holländischer Student mit dem Online-Namen Lucb1e in Form eines Suchwerkzeugs. Der Nutzer kann dort einen Teil seiner Mailadresse (etwa seinen Domainnamen) oder auch die ganze Adresse eingeben. Die Ergebnisse liegen nicht sofort vor, aber eine Suche erfolgt etwa zweimal täglich. Der Anwender kann sich das Resultat auch zuschicken lassen. Es besteht schlicht aus der Zahl der Mail-Konten, die den Suchbegriff aufweisen.

[mit Material von Liam Tung und Violet Blue, ZDNet.com]

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

14 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

18 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

19 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

20 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

20 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

22 Stunden ago