Facebook lagerte 200 bis 600 Millionen Passwörter in Klartext

Auf den internen Servern von Facebook wurden offenbar jahrelang Passwörter von Nutzern im Klartext gespeichert. Dies berichtet Krebs on Security unter Berufung auf einen anonymen Facebook-Angestellten. Insgesamt sollen zwischen 200 und 600 Millionen Passwörter unverschlüsselt gelagert worden sein. 20.000 Facebook-Angestellte hatten Zugang zu dem Datenschatz. Die ältesten Passwörter datierten angeblich auf das Jahr 2012 zurück.

Im Jänner entdeckt

Facebook untersucht nun, wie viele Passwörter genau für welchen Zeitraum gespeichert wurden. Hunderte Millionen Nutzer des Social Network werden nun über die Untersuchung informiert. In einem Blogeintrag berichtet das Unternehmen, es sei im Jänner aufgrund einer routinemäßigen Sicherheitsüberprüfung auf die im Klartext gespeicherten Passwörter gestoßen. Die Facebook-Techniker wiesen auf das Problem hin, weil Passwörter selbst auf Facebooks internen Servern normalerweise nur in einem unlesbaren Format gespeichert werden.

Vor allem Facebook Lite betroffen

"Um das klarzustellen, diese Passwörter waren niemals für jemanden außerhalb von Facebook sichtbar", beschwichtigt das Unternehmen. "Wir haben auch keinen Hinweis darauf gefunden, dass die Passwörter von jemandem intern missbraucht oder ungerechtfertigterweise angesehen wurden." Über die Entdeckung will man die Nutzer dennoch in vollem Umfang aufklären. In Kürze werden laut Facebook hunderte Millionen Nutzer von Facebook Lite, mehrere zehn Millionen anderer Facebook-Nutzer und zehntausende Instagram-Nutzer über die Passwörter-Entdeckung informiert.

Passwort-Änderung

Im Zuge der Sicherheitsuntersuchung im Jänner sei man auch auf andere Probleme bei der Datensicherung gestoßen und habe diese behoben. "Es gibt für uns nichts Wichtigeres, als die Informationen der Menschen zu schützen", beteuert Facebook.

Obwohl das Unternehmen versichert, dass ein Großteil der Facebook-Nutzer ihr Passwort nun nicht unbedingt ändern muss, weist das Unternehmen am Ende seines Blogeintrags auf diese Möglichkeit hin. Man solle es vermeiden, Passwörter auf mehreren Plattformen zu verwenden und möglichst komplexe Passwörter wählen. Außerdem sollten Nutzer die Möglichkeit einer Zwei-Faktor-Authentifizierung in Betracht ziehen.

Schlechter Zeitpunkt

Wie Krebs on Security beschreibt, kommt die Enthüllung der Passwort-Speicherung im Klartext für Facebook zu einem kritischen Zeitpunkt. Facebook wurde Anfang März scharf dafür kritisiert, dass es Telefonnummern, die u.a. zur Zwei-Faktor-Authentifizierung gespeichert wurden, für andere Zwecke - etwa Marketing - einsetzte. Im Klartext gespeicherte Passwörter wurden in den vergangenen Monaten auch bei Twitter und dem Entwickler-Portal Github entdeckt. In beiden Fällen waren allerdings viel weniger Passwörter betroffen und weniger Menschen hatten Zugang zu diesen Daten.