Facebook speichert mehrere Hundert Millionen Passwörter im Klartext

Facebook hat einen neuen gravierenden Fehler beim Umgang mit den Daten seiner Nutzer eingeräumt. Das Social Network bestätigte, dass über einen nicht näher genannten Zeitraum Passwörter von Mitgliedern des Social Network sowie Nutzern seiner Apps im Klartext gespeichert waren. Zuvor hatte der Sicherheitsexperte Brian Krebs bereits über den neuerlichen Datenskandal berichtet.

Seinen Quellen zufolge sind mehrere Hundert Millionen Facebook-Nutzer betroffen. In einigen Fällen waren die Passwörter demnach schon seit 2012 unverschlüsselt auf internen Facebook-Servern abgelegt. Die Datenbank soll durchsuchbar und für Tausende Facebook-Mitarbeiter zugänglich gewesen sein.

Auslöser war nach Angaben eines leitenden Facebook-Mitarbeiters, der an der seit Januar laufenden Untersuchung des Vorfalls beteiligt sein soll, eine Serie von Sicherheitsverletzungen. Unter anderem sollen Mitarbeiter Apps entwickelt haben, die Passwörter unverschlüsselt aufzeichneten und speicherten. Facebook schätze die Zahl der Betroffenen auf 200 bis 600 Millionen. Deren Passwörter sollen für mehr als 20.000 Mitarbeiter einsehbar gewesen sein. Die Ermittlungen sind Krebs‘ Quelle zufolge aber noch nicht abgeschlossen.

Scott Renfro, Software Engineer bei Facebook, sagte im Gespräch mit KrebsOnSecurity, sein Unternehmen könne noch keine konkreten Zahlen vorlegen. „Wir haben bei unseren Untersuchungen bisher keine Fälle gefunden, in denen jemand absichtlich nach Passwörtern gesucht hat, noch haben wir Anzeichen für einen Missbrauch dieser Daten gefunden. In dieser Situation haben wir festgestellt, dass die Passwörter versehentlich protokolliert wurden, aber dass daraus kein tatsächliches Risiko entsteht.“ Man werde die Passwörter von Nutzern nur zurücksetzen, falls es definitive Anzeichen eines Missbrauchs gebe.

Ähnlich klingt auch die inzwischen von Facebook veröffentlichte offizielle Stellungnahme. Darin heißt es, die ungesicherten Kennwörter seien bei einer routinemäßigen Sicherheitsprüfung im Januar gefunden worden. Der Fehler sei sofort korrigiert worden und man werde nun alle Betroffenen informieren.

„Um es klar zu sagen, die Passwörter waren nie für irgendjemand außerhalb von Facebook sichtbar und wir haben bisher keine Hinweise dafür gefunden, dass sie von irgendjemand intern missbraucht wurden“, schreibt Pedro Canahuati, Vice President des Bereichs Engineering, Security and Privacy bei Facebook. Man werde wahrscheinlich mehrere Hundert Millionen Nutzer der App Facebook Lite, mehrere Zehn Millionen Facebook-Nutzer und ebenfalls mehrere Zehn Millionen Instagram-Nutzer informieren müssen.

Trotz der Beteuerungen von Facebook kann derzeit nicht ausgeschlossen werden, dass zumindest wenige Passwörter zumindest kompromittiert wurden. Auch wenn man Facebook an sich als vertrauenswürdig einstuft, sollte man dieses Vertrauen nicht automatisch auf Tausende von Mitarbeitern des Unternehmens ausweiten. Von daher sollten vor allem Nutzer, die ihr Facebook-Passwort auch für Konten anderer Dienste einsetzen oder besonders „vertrauliche“ Informationen in ihrem Facebook-Konto hinterlegt haben, die Einrichtung eines neuen Kennworts in Betracht ziehen.

Erst kürzlich hatte eine Studie ergeben, dass Programmierer häufig bei der Passwortsicherheit schlampen. Selbst wenn im Anforderungskatalog eine sichere Speicherung von Kennwörtern gefordert wird, wird diese nicht immer von den Entwicklern korrekt umgesetzt. Bei einem Test lieferten 18 von 43 freiberuflichen Entwicklern Code ab, der Passwörter im Klartext speicherte. Mehr als die Hälfte der Programmierer setzte zudem sogar im nachgebesserten Code auf als unsicher geltende Verschlüsselungsverfahren.