Abo
  • Services:

Datenschutz: Facebook speicherte Millionen Passwörter im Klartext

Das unverschlüsselte Speichern von Passwörtern gilt als grober Verstoß gegen den Datenschutz. Bei Facebook sollen bis zu 600 Millionen Nutzer davon betroffen gewesen sein.

Artikel veröffentlicht am , / dpa
Die Verschlüsselung ist für Facebook-Chef Mark Zuckerberg eigentlich ein wichtiges Thema.
Die Verschlüsselung ist für Facebook-Chef Mark Zuckerberg eigentlich ein wichtiges Thema. (Bild: Stephen Lam/Reuters)

Passwörter von vielen Millionen Facebook-Nutzern sind für Mitarbeiter des Online-Netzwerks im Klartext zugänglich gewesen. "Wir gehen davon aus, dass wir Hunderte Millionen Nutzer von Facebook Lite, Dutzende Millionen weitere Facebook-Nutzer sowie Zehntausende Instagram-Nutzer benachrichtigen werden", teilte das Unternehmen am 21. März mit. Facebook habe keine Hinweise darauf, dass jemand intern missbräuchlich darauf zugegriffen habe, hieß es weiter. Die Passwörter seien für niemanden außerhalb des Unternehmens sichtbar gewesen. Facebook Lite ist eine abgespeckte Version für Nutzer des Online-Netzwerks in Regionen mit langsamen Internetleitungen.

Stellenmarkt
  1. Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB, Ilmenau
  2. ADAC Ostwestfalen-Lippe e.V., Bielefeld

Die betroffenen Nutzer sollen dennoch "als Vorsichtsmaßnahme" benachrichtigt werden, obwohl es keinen Hinweis auf einen Missbrauch der Daten gebe. Die Passwörter hätten eigentlich auch intern unkenntlich sein müssen. Der Fehler sei bei einer Routineprüfung im Januar aufgefallen. Er sei inzwischen behoben worden - Facebook machte keine Angaben dazu, wann genau. Normalerweise würden die Passwörter mit einem Salt, einer zufällig generierten Buchstaben- und Zahlenfolge, ergänzt und anschließend gehasht.

Zugriff für 20.000 Mitarbeiter

Kurz vor der Facebook-Mitteilung hatte der IT-Sicherheitsexperte Brian Krebs in seinem Blog von dem Fall berichtet. Er schrieb unter Berufung auf einen nicht namentlich genannten Facebook-Insider, mehr als 20.000 Mitarbeiter des Online-Netzwerks hätten Zugriff auf die im Klartext gespeicherten Passwörter haben können. Insgesamt könnten 200 bis 600 Millionen Facebook-Nutzer betroffen sein.

Die Archivdateien mit unverschleierten Passwörtern reichten bis ins Jahr 2012 zurück, hieß es bei Krebs weiter. Laut Logdaten hätten rund 2.000 Entwickler etwa neun Millionen interne Abfragen für Datenelemente gemacht, die ungeschützte Passwörter enthielten, schrieb der Sicherheitsexperte unter Berufung auf den Firmen-Insider. Facebook machte dazu zunächst keine Angaben.

Grober Datenschutzverstoß

Die Speicherung von Passwörtern im Klartext stellt einen Verstoß gegen die EU-Datenschutzgrundverordnung dar. Zur "Sicherheit der Verarbeitung" fordert Artikel 32 auch die "Pseudonymisierung und Verschlüsselung personenbezogener Daten". Zudem heißt es in Nummer 2: "Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung - insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden - verbunden sind."

Unter anderem aus diesem Grund war gegen den Chatanbieter Knuddels eine Strafe verhängt worden, weil nach einem Datenleck die unverschlüsselten Passwörter veröffentlicht worden waren. Die DSGVO bietet den Aufsichtsbehörden die Möglichkeit, deutlich höhere Bußgelder als zuvor zu verhängen. Artikel 83, Nummer 4 der DSGVO sieht bei schweren Verstößen Geldbußen in Höhe von bis zu zehn Millionen Euro oder bis zu zwei Prozent des Jahresumsatzes vor, wenn ein Datenverarbeiter seine Pflichten verletzt hat. Wenn gegen bestimmte Grundsätze der Datenverarbeitung verstoßen wird, sind sogar doppelt so hohe Bußgelder möglich.



Anzeige
Hardware-Angebote
  1. 199€ + Versand
  2. 18,99€
  3. ab 194,90€

Bonita.M 22. Mär 2019 / Themenstart

Man kann das garnicht lokal gegen entfernt gespeicherte Hashes vergleichen weil man zu...

TrollNo1 22. Mär 2019 / Themenstart

Die DSGVO gilt nicht für Amerika. Die DSGVO gilt für die EU. Und wenn ein amerikanischer...

TrollNo1 22. Mär 2019 / Themenstart

Eiszeit wäre angebracht...

nicoledos 22. Mär 2019 / Themenstart

der Unterschied, Knuddels hat die Passwörter (unbeabsichtigt) mit der Welt geteilt, FB...

supergurki 21. Mär 2019 / Themenstart

Ah ja... da wollte vielleicht jemand polemisieren und hat gleich die Plattform vergessen...

Kommentieren


Folgen Sie uns
       


Sony Xperia L3 - Hands on (MWC 2019)

Sony hat das Xperia L3 auf dem MWC 2019 in Barcelona vorgestellt. Das Einsteiger-Smartphone mit Dual-Kamera steckt in einem schmalen 2:1-Gehäuse. Es hat den Fingerabdrucksensor wieder auf der rechten Seite. Das Smartphone erscheint Anfang März 2019 zum Preis von 200 Euro.

Sony Xperia L3 - Hands on (MWC 2019) Video aufrufen
Programmierer: Wenn der Urheber gegen das Urheberrecht verliert
Programmierer
Wenn der Urheber gegen das Urheberrecht verliert

Der nun offiziell beendete GPL-Streit zwischen Linux-Entwickler Christoph Hellwig und VMware zeigt eklatant, wie schwer sich moderne Software-Entwicklung im aktuellen Urheberrecht abbilden lässt. Immerhin wird klarer, wie derartige Klagen künftig gestaltet werden müssen.
Eine Analyse von Sebastian Grüner

  1. Urheberrecht Frag den Staat darf Glyphosat-Gutachten nicht publizieren
  2. Vor der Abstimmung Mehr als 100.000 Menschen demonstrieren gegen Uploadfilter
  3. Uploadfilter SPD setzt auf Streichung von Artikel 13

ANC-Kopfhörer im Test: Mit Ach und Krach
ANC-Kopfhörer im Test
Mit Ach und Krach

Der neue ANC-Kopfhörer von Audio Technica ist in einem Bereich sogar besser als unsere derzeitigen Favoriten von Sony und Bose - ausgerechnet in der entscheidenden Disziplin schwächelt er aber.
Ein Test von Ingo Pakalski

  1. Surface Headphones Microsofts erster ANC-Bluetooth-Kopfhörer kostet 380 Euro
  2. Sonys WH-1000XM3 Oberklasse-ANC-Kopfhörer hat Kälteprobleme
  3. Sony-Kopfhörer WH-1000XM3 im Test Eine Oase der Stille oder des puren Musikgenusses

Linux: Wer sind die Debian-Bewerber?
Linux
Wer sind die Debian-Bewerber?

Nach schleppendem Beginn stellen sich vier Kandidaten als Debian Project Leader zur Wahl. Zwei von ihnen kommen aus dem deutschsprachigen Raum und stellen Golem.de ihre Ziele vor.
Von Fabian A. Scherschel

  1. Betriebssystem Debian-Entwickler tritt wegen veralteter Werkzeuge zurück
  2. Linux Debian-Update verhindert Start auf ARM-Geräten
  3. Apt Bug in Debian-Paketmanager feuert Debatte über HTTPS an

    •  /