Facebook: Viele Millionen Passwörter im Klartext abrufbar

Facebook: Viele Millionen Passwörter im Klartext abrufbar

Holla die Waldfee: Heute berichtet der renommierte IT-Sicherheitsexperte Brian Krebs in seinem Blog https://krebsonsecurity.com, dass Facebook – teilweise seit 2012 – hunderte von Millionen Passwörter seiner „Kunden“ (oder doch Produkte?) im Klartext (!) auf seinen Servern gespeichert hatte. Und: Viele tausend Mitarbeiter des Unternehmens hatten Zugriff auf diese Zugangsdaten.

Der Bericht wurde mittlerweile von Facebook bestätigt. Die Bestätigung trägt die fast sarkastisch zu nennende Überschrift: Keeping Passwords Secure!

Es wird dort auch nur davon gesprochen, dass „ein paar Passwörter“ im Klartext betroffen seien, was auch selbst bemerkt und mittlerweile geändert sei:

“As part of a routine security review in January, we found that some user passwords were being stored in a readable format within our internal data storage systems. This caught our attention because our login systems are designed to mask passwords using techniques that make them unreadable. We have fixed these issues and as a precaution we will be notifying everyone whose passwords we have found were stored in this way.

To be clear, these passwords were never visible to anyone outside of Facebook and we have found no evidence to date that anyone internally abused or improperly accessed them. We estimate that we will notify hundreds of millions of Facebook Lite users, tens of millions of other Facebook users, and tens of thousands of Instagram users. Facebook Lite is a version of Facebook predominantly used by people in regions with lower connectivity.”

An Harmlosigkeit ist dieses Statement nicht zu überbieten. Kennt man den Beitrag von Brian Krebs, bemerkt man schnell, wie Facebook versucht, den Vorfall herunterzuspielen.

Doch die Tragweite des Ganzen ist enorm: Denn, wenn die Vorwürfe zutreffen, dann reden wir von einem riesigen Datenskandal. Weiß Gott nicht der erste, der Facebook betrifft.

Der Fall erinnert ein wenig an das im Oktober verhängte erste Bußgeld in Deutschland nach der Datenschutzgrundverordnung (DSGVO). Denn das Karlsruher soziale Netzwerk knuddels.de hatte ebenfalls Passwörter, und damit Zugangsdaten einer Nutzer, im Klartext auf seinem Webserver abgelegt. Das Bußgeld betrug 20.000 Euro, weil Knuddels auch sehr kooperativ war und eine sechsstellige Summe in die IT-Sicherheit investiert hat, um eine Wiederholung zu verhindern (Unser Beitrag dazu kann hier abgerufen werden).

Da davon auszugehen ist, dass auch EU-Bürger von dem Vorfall betroffen sind, ist die DSGVO auch hier anwendbar. Jetzt kann der neue Datenschutz – und vor allem der neue Bußgeldrahmen – also zeigen, was er kann…

Wir werden den Fall natürlich beobachten und weiter berichten…

Timo Schutt
Rechtsanwalt
Fachanwalt für IT-Recht

Urheberangabe für das Foto für diesen Beitrag: