Der nächste Datenskandal: Facebook speicherte hunderte Millionen Passwörter von Nutzern im Klartext

Facebook macht es Datenschützern in den letzten Jahren sehr leicht, den Konzern wegen des Umgangs mit Nutzerdaten zu kritisieren. Ein anonymer Tippgeber hat sich an die Sicherheitswebseite KrebsOnSecurity gewandt und ein neues großes Datenschutzproblem bei Facebook offengelegt – zwischen 200 und 600 Millionen Klartext-Passwörter werden auf internen Facebook-Servern gespeichert und können von etwa 20.000 Mitarbeitern ohne spezielle Zugangsregeln ausgelesen und verwendet werden. Die Daten reichen bis ins Jahr 2012 zurück.


Keine Chiffrierung der Passwörter
Webseitenbetreiber speichern im Normalfall nur gekürzte und chiffrierte Passwörter – falls unberechtigter Zugriff auf die Nutzerdatenbank stattfindet, können die Angreifer wenigstens nicht die Klartext-Passwörter entwenden. Dies hat den großen Vorteil, dass eine Anmeldung mit den chiffrierten Passwörtern am Dienst selbst oder an anderen Webdiensten, falls der Nutzer das Passwort mehrfach verwendet hat, nicht möglich ist.

9 Millionen Anfragen nach Klartext-Passwörtern
Über Zugriffsberichte konnte die anonyme Quelle herausfinden, dass etwa 2.000 Entwickler über neun Millionen Abfragen an die internen Server stellten, welche Klartext-Passwörter beinhalteten. Hauptsächlich scheinen auf den internen Servern Nutzerpasswörter der Facebook- und Instagram-Apps abgelegt worden zu sein.

Problem schon seit Januar bekannt – Facebook sieht bei Nutzern keinen Handlungsbedarf
Laut der anonymen Quelle hat Facebook das Sicherheitsproblem schon im Januar aufgedeckt aber nicht öffentlich bekannt gegeben – ob Facebook den Datenschutzverstoß auch ohne den Tippgeber gemeldet hätte sei einmal dahingestellt. Facebook hat eigenen Angaben nach eine kleine interne Taskforce zusammengestellt, welche untersuchen soll, wie es zu dem Datenschutzverstoß kam und wie solche Probleme zukünftig vermieden werden können.

Facebook sieht es derzeit nicht als notwendig an die Vergabe eines neuen Passwortes zu verlangen – man wolle aber betroffene Nutzer zeitnah informieren. Warum der Konzern betroffene Facebook-User nicht schon im Januar nach Aufdeckung des Sicherheitsrisikos kontaktierte teilte Facebook nicht mit. Eigenen Angaben nach gebe es keinerlei Hinweise, dass durch die intern frei zugänglichen Klartext-Passwörter Schaden entstanden sei.

Kommentare

little_pixel22.03.19 08:50
Guten morgen,

ich bin nicht bei Facebook und somit betrifft mich die Thematik nicht.
Unschön, aber mich würde die Sache auch nicht in Schwitzen bringen.
falls der Nutzer das Passwort mehrfach verwendet hat

Der entscheidende Punkt und hier kann man nur immer wieder wiederholen, dass ein Passwortmanager (oder eben Schlüsselbund) in der heutigen Zeit zu der "Basisausstattung" jedem Anwender gehören sollte.
Ich kenne bis auf mein Master- und Apple-ID-Passwort kein einziges meiner Passwörter.

Bitte liebe Leser, die wirklich ihre Passwörter tippen und euch ertappt fühlen, setzt euch einmalig mit einem Passwortmanager auseinander und geht diesen Weg.
Im Alltag bei der Verwendung ist es nicht im Ansatz aufwändiger, ja sogar komfortabler mit Touch- und Face-ID.

Viele Grüße
+6
Stefan-s22.03.19 08:56
little_pixel
Guten morgen,

ich bin nicht bei Facebook und somit betrifft mich die Thematik nicht.
Unschön, aber mich würde die Sache auch nicht in Schwitzen bringen.
falls der Nutzer das Passwort mehrfach verwendet hat

Der entscheidende Punkt und hier kann man nur immer wieder wiederholen, dass ein Passwortmanager (oder eben Schlüsselbund) in der heutigen Zeit zu den "Basisausstattung" jedem Anwender gehören sollte.
Ich kenne bis auf mein Master- und Apple-ID-Passwort kein einziges meiner Passwörter.

Bitte liebe Leser, die wirklich ihre Passwörter tippen und euch ertappt fühlen, setzt euch einmalig mit einem Passwortmanager auseinander und geht diesen Weg.
Im Alltag bei der Verwendung ist es nicht im Ansatz aufwändiger, ja sogar komfortabler mit Touch- und Face-ID.

Viele Grüße

Ist ja alles gut und schön und richtig.

Aber ändert nichts daran, daß man dem Zuckerzwerg und seiner Bande für ihre ständigen Schweinereien kräftig auf die Pfoten hauen muß, und zwar so, daß es ihm richtig weh tut.
+14
coin_op
coin_op22.03.19 09:06
Gähn.... wo is die Neuigkeit der News
Ja Gips denn so was... :D
0
trw
trw22.03.19 09:07
Stefan-s
... Ist ja alles gut und schön und richtig.
Aber ändert nichts daran, daß man dem Zuckerzwerg und seiner Bande für ihre ständigen Schweinereien kräftig auf die Pfoten hauen muß, und zwar so, daß es ihm richtig weh tut.

Ich glaube, das wird wahrscheinlich doch (leider!) eher nicht oder nur "symbolisch" passieren.

Dazu hat Facebook mittlerweile doch viel zu viel "Macht" (allein durch die Milliarden Nutzer).
Drakonische Strafen, große Änderungen, "Zerschlagung"/"Teilung", etc. würde(n) doch sicher zu so viel Aufschrei der Nutzer führen, dass sich da wahrscheinlich eh nur sehr wenige Politiker/Behörden/etc. rantrauen würden, oder?
+2
MLOS22.03.19 09:08
Stefan-s

Kann ich nur zustimmen. So etwas darf unabhängig davon, ob nun ein PW-Manager eingesetzt wird oder nicht, nicht passieren... Ich hoffe, dass ich den Tag erleben darf, an dem der Saftladen endlich dicht gemacht wird.
"Es ist ein unerwarteter Fehler aufgetreten" - Welche Fehler wurden denn erwartet?
+8
rene204
rene20422.03.19 09:21
Es kann doch kein Schaden entstanden sein... "Eigenen Angaben nach gebe es keinerlei Hinweise, dass durch die intern frei zugänglichen Klartext-Passwörter Schaden entstanden sei.
"

Facebook, WA und Instagram-Nutzer haben doch NICHTS zu verbergen....
Gelassenheit und Gesundheit.. ist das wichtigste...
0
verstaerker
verstaerker22.03.19 09:23
MLOS
Ich hoffe, dass ich den Tag erleben darf, an dem der Saftladen endlich dicht gemacht wird.

und ich wette mit dir das selbst solche fundamentalen Datensicherheitsskandale nichts an der Unbekümmertheit vieler Millionen Nutzer ändern wird.
Das ist einfach nur traurig.
+2
depeche101mode22.03.19 09:35
verstaerker

Stimmt, leider...
+1
little_pixel22.03.19 09:52
Hallo zusammen,

@Stefan-s @MLOS

Ihr müßt aber berücksichtigen, dass wir auf das alles keinen Einfluss haben.
Welches Passwort ich aber in die Datenbank eintrage sehr wohl.
Und das ist mein Appell…

Viele Grüße
+2
frodo200722.03.19 09:59
little_pixel
Der entscheidende Punkt und hier kann man nur immer wieder wiederholen, dass ein Passwortmanager (oder eben Schlüsselbund) in der heutigen Zeit zu der "Basisausstattung" jedem Anwender gehören sollte.
Ich kenne bis auf mein Master- und Apple-ID-Passwort kein einziges meiner Passwörter.

Bitte liebe Leser, die wirklich ihre Passwörter tippen und euch ertappt fühlen, setzt euch einmalig mit einem Passwortmanager auseinander und geht diesen Weg.
Im Alltag bei der Verwendung ist es nicht im Ansatz aufwändiger, ja sogar komfortabler mit Touch- und Face-ID.

Für die von Dir angesprochenen "Leser, die wirklich ihre Passwörter tippen und euch ertappt fühlen", sollte der in iOS und macOS integrierte Schlüsselbund vollkommen ausreichend sein.
0
cab
cab22.03.19 10:50
Unter diesen Umständen reicht ja mein "1234" Passwort locker.
Diese formschöne Signatur gibt es jetzt zum günstigen Einstiegspreis von nur 849,95€ !
+2
Peter Eckel22.03.19 11:05
little_pixel
ich bin nicht bei Facebook und somit betrifft mich die Thematik nicht.
Unschön, aber mich würde die Sache auch nicht in Schwitzen bringen.
falls der Nutzer das Passwort mehrfach verwendet hat
Ja und nein ...

Ich schließe mich Deiner Empfehlung, einen Paßwortmanager zu benutzen, in vollem Maße an. Das kann man wirklich nicht oft genug unterstreichen: Jeder, wirklich jeder Account sollte ein eigenes, nicht zu erratendes (ergo am besten zufällig generiertes) Paßwort haben.

Leider hat sich das nicht weit genug herumgesprochen, und ich vermute, daß von den mehreren hundert Millionen betroffenen mehrere hundert Millionen nur ein Paßwort haben und dieses überall benutzen.

Aber die Sache bei Facebook ist eine noch etwas komplexere, da der Facebook-Account auch gern als Authentifizierungsmerkmal bei anderen Diensten genutzt wird. Das ist bequem, praktisch und sehr idiotisch. Wie der vorliegende Fall zeigt, ist Facebook auch als Authentifizierungsdienst nicht vertrauenswürdig, und das Login dort dann bei anderen Diensten einzusetzen eine ... sagen wir, verbesserungswürdige Idee.
+2
Peter Eckel22.03.19 11:09
trw
Drakonische Strafen, große Änderungen, "Zerschlagung"/"Teilung", etc. würde(n) doch sicher zu so viel Aufschrei der Nutzer führen, dass sich da wahrscheinlich eh nur sehr wenige Politiker/Behörden/etc. rantrauen würden, oder?
Ja. Absolut.

Aber es gibt noch Politikerinnen (und vermutlich auch Politiker, mir fällt nur gerade keiner ein) mit Arsch in der Hose:

Das ist ja fast schon revolutionär, sich als Politiker öffentlich gegen Facebook zu stellen. Mit dem Aufschrei muß man dann halt umgehen können.
0
Peter Eckel22.03.19 11:12
verstaerker
Das ist einfach nur traurig.
Es ist nicht traurig, es ist dumm.

Mark Zuckerberg hat Recht: "They 'trust me'. Dumb fucks"
+1
Wiesi
Wiesi22.03.19 11:20
Ich benutzte natürlich auch den Schlüsselbund. Aber manchmal muß man bewußt ein Häkchen setzten, damit das Passwort auch gesichert wird, So z.B. beim verschlüsselten Backup der IOS-Geräte unter iTunes. Keine Warnung wenn man es vergißt. Ich weiß unterdessen, wie man ein neues Passwort setzt, ohne das alte zu kennen. Also Holzauge sei wachsam!
Everything should be as simple as possible, but not simpler
0
Weia
Weia22.03.19 11:49
frodo2007
Für die von Dir angesprochenen "Leser, die wirklich ihre Passwörter tippen und euch ertappt fühlen", sollte der in iOS und macOS integrierte Schlüsselbund vollkommen ausreichend sein.
Nur bedingt, weil er lediglich dann zufällige Passwörter generieren kann, wenn man ihn in iCloud ablegt – was ich seinerseits inakzeptabel fände. Leider ist Apple von dieser idiotischen Koppelung nicht abzubringen.
+2
Peter Eckel22.03.19 11:59
Wiesi
Ich weiß unterdessen, wie man ein neues Passwort setzt, ohne das alte zu kennen. Also Holzauge sei wachsam!
Meinst Du beim Speichern eines Backups? Das geht trivialerweise, ist aber kein Sicherheitsproblem. Um an das bestehende Backup zu kommen, brauchst Du immer noch das Paßwort, mit dem Du es gespeichert hast.

Etwas anderes könnte es sein, wenn Du Dein Backup in iCloud machst. Das wird meines Wissens immer noch unverschlüsselt dort abgelegt, und damit kann man dann natürlich auch an die Daten, ohne das Paßwort zu kennen. Unter anderem deswegen macht man das ja auch lieber nicht.
0
Igor Detlev22.03.19 12:22
Peter Eckel

Etwas anderes könnte es sein, wenn Du Dein Backup in iCloud machst. Das wird meines Wissens immer noch unverschlüsselt dort abgelegt, und damit kann man dann natürlich auch an die Daten, ohne das Paßwort zu kennen. Unter anderem deswegen macht man das ja auch lieber nicht.

Daten, die verschlüsselt auf deinem Rechner liegen, z.B. die Schlüsselbunddaten, sind das auch im Backup, auch wenn das Backup selbst nicht zusätzlich verschlüsselt ist.
0
albertyy22.03.19 13:47
Mein neues Passwort ist jetzt :
OHr2HzrSKKJb2nQ3xw6sRSHzIl5PIgg

vorher war es : 1234

Was ist da jetzt der Unterschied ?

Wenn es Facebook sowieso auslesen kann ?

Und da man sich ja über Facebook in viele andere Dienste anmelden kann, potenziert sich dieses riesige Problem noch einmal.
Woher will Facebook denn überhaupt wissen, daß es nicht zu gravierenden "Unstimmigkeiten" gekommen ist ?
Das kann FB doch gar nicht mehr verfolgen. (höchstens nur auf seinem eigenen Portal).....
Und dann muss ein whistleblower erst wieder her....
0
Peter Eckel22.03.19 14:18
Igor Detlev
Daten, die verschlüsselt auf deinem Rechner liegen, z.B. die Schlüsselbunddaten, sind das auch im Backup, auch wenn das Backup selbst nicht zusätzlich verschlüsselt ist.
Das ist trivalerweise klar.

Es geht um das direkte Backup vom iOS-Device auf iCloud. Mir war so (ich habe das nicht im Detail verfolgt, da es mich nicht interessiert - ich nutze keine Cloud-Backups) als könne ein Backup auf iCloud zumindest von Apple auf Anforderung entschlüsselt werden, was nach meiner Definition heißt, daß es nicht wirksam verschlüsselt ist.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen