Facebook: Hunderte Millionen Passwörter für Mitarbeiter lesbar gespeichert

Als hätte Facebook nicht schon genug Probleme mit Dritten wie Cambridge Analytica, die Personendaten bei der Plattform abgeschöpft haben, wird nun publik, dass beim Sozialen Netzwerk über Jahre hunderte Millionen Passwörter in lesbaren Formaten intern und für Mitarbeiter einsehbar gespeichert wurden. Während das Problem behoben wurde, geht das Unternehmen zumindest davon aus, dass die Passwörter nicht missbraucht wurden. Millionen User von Facebook, Facebook Lite und Instagram werden nun benachrichtigt.

Die Sicherheit der Passwörter beim größten Social Network steht infrage

Der investigative Journalist Brian Krebs machte die jüngste Datenproblematik bei Facebook auf seiner Seite KrebsOnSecurity publik. Als Folge auf diesen Bericht gab das Unternehmen selbst per Blogpost ein Statement ab, welches bestätigt, dass Passwörter in einem lesbaren Format in den internen Datenspeichersystemen gespeichert worden waren. Während Facebook im ersten Satz mit dem Wording „some passwords“ operiert, klärt Krebs mit Bezug auf einen anonymen Facebook-Mitarbeiter – der nicht mit der Presse darüber sprechen durfte – darüber auf, dass es sich womöglich um 600 Millionen User handelt, die potentiell betroffen sind.

Facebook gibt jedoch an, dass insbesondere hunderte Millionen Facebook Lite-Nutzer, Facebook User im zweistelligen Millionenbereich und tausende Instagram User benachrichtigen werden, die betroffen waren. Diese Benachrichtigung dient als Vorsichtsmaßnahme. Denn einerseits hat Facebook, im Januar auf das Problem aufmerksam geworden, dieses inzwischen behoben. Eigentlich soll Facebooks Technologie nach eigener Aussage dafür sorgen, dass im Login-System Passwörter quasi maskiert und unlesbar gemacht werden. Andererseits beteuert das Unternehmen, dass die Passwörter niemals außerhalb von Facebook einsehbar gewesen sind. Zudem hat man keine Beweise dafür gefunden, dass die gespeicherten Daten von Mitarbeitern in unangemessener Weise genutzt oder missbraucht wurden; was nicht ausschließt, dass es doch geschehen sein könnte.

Da die Passwörter im Plain Text gespeichert waren, hätten laut der Quelle von Brian Krebs gut 20.000 Mitarbeiter potentiell Zugriff auf diese haben können.

Die Untersuchung geht weiter, die Probleme sind schwerwiegend

Facebook untersucht weiterhin, wie es zu der Speicherung im Plain Text kommen konnte. Zudem wird noch ermittelt, wie viele Passwörter schließlich exponiert wurden. Bei dieser Untersuchung zeigte sich laut Krebs, dass selbst Archive von 2012 gefunden wurden, in denen entsprechend Passwörter lesbar gespeichert waren.

Im Zuge der Prüfung hat Facebook selbst auch andere gespeicherte Daten, Access Tokens etwa, auf ihre Sicherheit hin analysiert. Im Statement heißt es einfach, man habe Fehler, die gefunden wurden, korrigiert. Das deutet darauf hin, dass nicht allein Passwörter im Plain Text gespeichert waren.

Grundsätzlich sollen diese Passwörter jedoch maskiert werden. Das Unternehmen erklärt, dass sie bei der Erstellung eines Accounts verschlüsselt werden. Dazu gehört ein kryptographischer Schlüssel, mit dem das Passwort Facebook-intern irreversibel in zufällige Zeichen umgewandelt wird. Mit dieser Information kann Facebook erkennen, ob sich eine Person mit dem validen Passwort einloggt, ohne im Plain Text das ursprüngliche Passwort einsehen zu können und zu speichern.

Facebook stellt Sicherheitsmaßnahmen zur Verfügung

Das Soziale Netzwerk hat einige Lösungen parat, die Nutzer dabei unterstützen sollen, ihre eigene Passwortsicherheit aufrechtzuerhalten. Zunächst prüft die Plattform jegliche Logins, auch solche mit korrektem Passwort, die jedoch von abweichenden Orten oder Geräten durchgeführt wurden. Wird der Login als verdächtig eingestuft, stellt Facebook eine weitere Frage zur Identifizierung des Nutzers. Darüber hinaus können die User sich über Logins auch benachrichtigen lassen. Zusätzlich hat Facebook ein Auge auf Datenlecks im Kontext von Passwörtern bei anderen Seiten oder Apps. Wird publik, dass es solche Probleme gibt und erkennt Facebook, dass gleiche Login-Daten wie bei der eigenen Plattform gestohlen wurden, wird der entsprechende Nutzer beim nächsten Login auf Facebook ebenfalls benachrichtigt. Er wird dann zum Ändern seines Passworts aufgerufen.

Ein neueres Feature für mehr Sicherheit beim Login stellt die physische Identifizierung dar. Hierbei muss der Nutzer ein Gerät, dass per USB angeschlossen wird, berühren, um sich als derjenige auszuweisen, der er mit dem Login vorgibt zu sein. Dieser Security Key existiert seit 2017 und ist insbesondere für Journalisten, Politiker, Aktivisten und Co. vorgesehen.

Schließlich rät Facebook allen Nutzern dazu, ihre Passwörter zu ändern, sollten sie von der Sicherheitslücke betroffen sein und benachrichtigt werden. Außerdem wird davon abgeraten Passwörter bei verschiedenen Diensten zu benutzen. Vor allem sollten Nutzer jedoch auf eine Zwei-Faktor-Authentifizierung setzen, um potentiellen Missbrauch ihrer Daten zu erschweren. Facebook selbst gibt umfassende Sicherheitstipps auf einer entsprechenden Seite.

Selbst wenn Facebook sich schließlich hilfsbereit gibt und betont, dass die Passwörter nicht belegbar missbraucht worden sind, ist doch die Vorstellung, dass tausende Mitarbeiter potentiell Zugriff auf Abermillionen von Login-Daten hatten, beängstigend. Damit zeigt sich erneut, dass Nutzer trotz Sicherheitsmaßnahmen bei Facebook – genauso aber auch bei anderen großen Netzwerken – nicht darauf vertrauen können, dass ihre Daten in Sicherheit sind. Diese Illusion dürfte über die letzten Jahre endgültig zerstört worden sein. Dass damit jedoch ein Nutzerschwund und Probleme für das Werbenetzwerk einhergehen, lässt sich kaum feststellen. Zu sehr scheint man daran gewöhnt, dass mächtige digitale Plattformen Probleme mit der Datensicherheit aufweisen. Und ein Ende der Problematik ist kaum abzusehen; weshalb die Nutzer selbst mehr denn je gefragt sind, sich Gedanken um ihre Daten und Logins zu machen.