Facebook speicherte Millionen Instagram-Passwörter im Klartext

Facebook hat die nächsten Datenschutz-Pannen entdeckt: Das Online-Netzwerk lud in den vergangenen drei Jahren ohne Erlaubnis die Daten der Kontakte von bis zu 1,5 Millionen neuen Nutzern hoch. Der Fehler sei nach einer Änderung am Anmelde-Verfahren im vergangenen Monat entdeckt worden, wie Facebook am Donnerstag bestätigte. Die Daten seien mit niemandem geteilt worden und würden gelöscht. Der Fehler sei behoben und betroffene Nutzer würden informiert. Über den neuen Fehler hatte zunächst das Finanznachrichten-Portal „Business Insider“ berichtet, das zur Axel-Springer-Gruppe gehört.

Zudem gab Facebook bekannt, dass die Daten von mehr Instagram-Nutzern unverschlüsselt gespeichert wurden als angenommen. Der US-Konzern gab bereits am 21. März zu, dass man versehentlich die Passwörter von „hunderten Facebook-Lite, mehreren zehn Millionen Facebook- und zehntausenden Instagram-Nutzern“ unverschlüsselt gespeichert habe. Facebook korrigierte die Zahl der betroffenen Instagram-Nutzer nun deutlich nach oben: Statt zehntausenden seien mehrere Millionen Nutzer betroffen.

Der US-Konzern veröffentlichte ein entsprechendes Update auf seinem Blog zeitgleich mit dem Bericht des US-Sonderermittlers Robert Mueller. Dieser prüfte, ob Donald Trumps Wahlkampfteam Absprachen mit Russland traf und ob Trump die Justiz behinderte. Datenschützer werfen Facebook vor, diesen Zeitpunkt bewusst gewählt zu haben, um möglichst wenig Aufsehen zu generieren.

Laut Facebook versehentlich Daten hochgeladen

Kontaktdaten wurden in einigen Fällen bei der Bestätigung der E-Mail-Adresse eines neuen Nutzers durch Eingabe des Passworts des Mail-Accounts hochgeladen. Facebook besaß damit die Möglichkeit, die E-Mail-Adresse des neuen Mitglieds zu bestätigen. Dieses Verfahren wurde von Facebook nach Kritik von Datenschützern wieder abgeschafft.

Ein Facebook-Sprecher sagte „Business Insider“, man habe vor Mai 2016 den Anwendern angeboten, zusammen mit der Verifizierung auch freiwillig die Kontakte aus dem E-Mail-Konto hochzuladen. Somit konnte der US-Konzern den Nutzern etwa neue Freunde empfehlen. Es blieb unklar, ob Facebook die Daten auch für gezielte Werbung nutzte. Die Funktion sei dann wieder abgeschafft worden.

Nur Hinweis entfernt

Der Texthinweis auf die Funktion sei tatsächlich gelöscht worden. Allerdings sei die zugrundeliegende Funktionalität nicht entfernt worden, erklärte der Sprecher. Facebook habe nicht auf die E-Mail-Inhalte der Anwender zugegriffen. Wie viele Kontaktdaten ohne einen entsprechenden Hinweis bei Facebook gelandet sind, kann nur geschätzt werden. Es können je nach Größe der jeweiligen Adressbücher mehrere hundert Millionen Datensätze sein.

Facebook waren in den vergangenen Jahren mehrere Datenschutz-Pannen unterlaufen. Unter anderem hatten mehrere Millionen Nutzer ihre Beiträge möglicherweise ungewollt mit der ganzen Welt geteilt statt nur mit Freunden.