calendar
« Feb12345678910111213141516171819202122232425262728293031 Apr »

Facebook speicherte Passwörter im Klartext

Dieser Text ist im Cache von metaowl.de - das Original ist hier zu finden.
Facebook speichert Klartext-Passwörter: Irgendwo zwischen Facepalm und "Ihr habt doch 'nen Vogel" CC0 Joe deSousa

Cambridge Analytica, Sicherheitslücken bei privaten Gruppen sowie Unbekannte, die Zugriff auf Millionen von Nutzerdaten hatten. Facebook hat kein gutes Händchen bei Datensicherheit und Datenschutz. Der Journalist Brian Krebs fand nun heraus, dass der Konzern viele Millionen Passwörter im Klartext in seinen Datenbanken gespeichert hat. Laut einem Statement von Facebook seien diese Passwörter nie von außen einsehbar gewesen:

„Um es klarzustellen, diese Passwörter waren für niemanden außerhalb von Facebook sichtbar, und wir haben bisher keine Beweise dafür gefunden, dass jemand diese intern missbraucht oder unsachgemäß auf sie zugegriffen hat.“

Tausende Mitarbeiter hatten Zugriff auf die Klartext-Passwörter

Krebs zitiert eine anonyme Quelle innerhalb des Konzerns, laut der die Daten für mehr als 20.000 Facebook-Mitarbeiter:innen sichtbar gewesen seien – ein enormes Missbrauchsrisiko. Es seien 200 bis 600 Millionen Nutzer:innen von Facebook, Instagram und Facebook Lite betroffen.

Facebook sagt, das Problem sei mittlerweile behoben und Betroffene würden über den Vorfall informiert.

Beim Bundesdatenschutzbeauftragten Ulrich Kelber hat der aktuelle Skandal laut einer Pressemitteilung der Behörde „vor allem Kopfschütteln ausgelöst“. Facebook als einer der „weltweit größten IT-Konzerne“ wisse offensichtlich nicht, wie Passwörter gespeichert werden müssen:

Das ist in etwa so, wie wenn sich Fahrgäste in einem Taxi nicht anschnallen können, weil der Fahrer nicht weiß, wie ein Sicherheitsgurt funktioniert.

Niemand sollte die Passwörter seiner Nutzer lesen können

Doch wie kann man Passwörter überhaupt mit der Eingabe von Nutzern abgleichen, wenn der Plattform-Betreiber das Original nicht kennt? Dafür gibt es ein seit langem bewährte kryptographische Verfahren. Passwörter werden dann beim Betreiber nur in gehashter Form gespeichert. Ein Hash macht aus einer Zeichenkette wie „Passwort123“ beispielsweise die Abfolge „b6339e4adeee1575“ mit fester Länge. Es gibt verschiedene Hash-Verfahren, nicht alle sind für die Speicherung von Passwörtern geeignet.

So kann man aus den Hash-Werten von Verfahren wie MD5 oder SHA-1 die Ursprungszeichenkette recht einfach zurückrechnen. Bei anderen Verfahren ist das nicht ohne Weiteres möglich – beziehungsweise noch ist kein Verfahren bekannt, mit dem das effizient möglich ist.

Meldet man sich bei einer Plattform an, werden nur die Hashwerte abgeglichen, nicht die Originalpasswörter. Das hat unter anderem den Vorteil, dass jemand die Originalpasswörter nicht lesen kann, selbst wenn er die Passwortdatenbank einer Plattform in die Hände bekommt. Wenn Facebook IT-Sicherheit ernst nehmen würde, dürfte Facebook die Zugangsdaten seiner Nutzer also gar nicht kennen. Doch das Gegenteil ist zumindest teilweise der Fall. Es handelt sich deswegen auch nicht um eine Datenpanne, sondern einen grundlegenden Fehler im IT-Sicherheitskonzept.


Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

von Datenschutz – netzpolitik.org, gepostet am Freitag, 22. März 2019 um 12:28
Aufgrund der Textinhalte könnten folgende Beiträge thematisch zu diesem Beitrag passen:
Stoppt die Vorratsdatenspeicherung! Jetzt klicken & handeln!Willst du auch bei der Aktion teilnehmen? Hier findest du alle relevanten Infos und Materialien: