Datenpanne bei Facebook: Millionen Passwörter ohne Verschlüsselung gespeichert
Facebook hat zugegeben, die Passwörter von Hunderten Millionen Nutzern unverschlüsselt gespeichert zu haben. Die Passwörter waren für die Mitarbeiterinnen und Mitarbeiter des Konzerns im Klartext zugänglich. Betroffen sind Nutzer von Facebook, Instagram und Facebook Lite. Nach Aussage von Facebook gebe es allerdings keine Hinweise darauf, dass intern missbräuchlich auf die Daten zugegriffen worden wäre.
Die Passwörter von vielen Millionen Facebook-Nutzern waren für Mitarbeiter des Online-Netzwerks ohne Verschlüsselung zugänglich. Laut eines Statements des Unternehmens vom 21. März 2019 seien hunderte Millionen Nutzer von Facebook Lite, dutzende Millionen weitere Facebook-Nutzer sowie zehntausende Instagram-Nutzer betroffen. Facebook Lite ist eine abgespeckte Version des Online-Netzwerks für Nutzer aus Regionen mit langsamen Internetleitungen.
Nach Angaben von Facebook liegen keine Hinweise vor, dass die Daten intern missbräuchlich verwendet wurden oder dass unsachgemäß darauf zugegriffen wurde. Außerdem seien die Passwörter für niemanden außerhalb des Unternehmens sichtbar gewesen sein. Obwohl es keine Hinweise auf einen Missbrauch der Daten gebe, sollen die betroffenen Nutzer dennoch als „reine Vorsichtsmaßnahme“ benachrichtigt werden. Der Fehler sei bei einer Routineprüfung im Januar aufgefallen und sei mittlerweile bereits behoben worden.
Möglicherweise Hunderte Millionen Betroffene
Bereits vor dem offiziellen Facebook-Statement hatte der IT-Sicherheitsexperte Brian Krebs in seinem Blog von dem Fall berichtet. Unter Berufung auf einen nicht namentlich genannten Facebook-Insider gab er an, dass mehr als 20.000 Mitarbeiter von Facebook Zugriff auf die unverschlüsselt gespeicherten Passwörter haben könnten. Nach Aussage von Krebs könnten 200 bis 600 Millionen Facebook-Nutzer betroffen sein, wobei die Archivdateien mit unverschlüsselten Passwörtern bis ins Jahr 2012 reichen sollen.
Die Passwörter hätten grundsätzlich auch intern unkenntlich gemacht werden müssen. Für die Speicherung von Passwörtern existieren sogenannte kryptographische Verfahren. Passwörter können beispielsweise als Hashwert gespeichert werden, einer Art digitalen Fingerabdruck des Passworts. Dabei wird aus dem eingegebenen Passwort eine Prüfsumme, auch „Hashwert“ genannt, erstellt. Dieser digitale Fingerabdruck wird sodann mit dem bei Facebook hinterlegten Hashwert abgeglichen. Sofern die in der Datenbank hinterlegten Angaben zum Nutzernamen und der Hashwert des Passworts übereinstimmen, wird dem Nutzer Zugang zu seiner Facebook-Seite gewährt.
Gravierender Datenschutzverstoß
Die Speicherung von unverschlüsselten Passwörtern stellt einen Verstoß gegen Artikel 32 der EU-Datenschutzgrundverordnung dar. Die DSGVO bietet den Aufsichtsbehörden nunmehr die Möglichkeit, für gravierende Datenschutzverstöße deutlich höhere Bußgelder zu verhängen als zuvor. Bei schweren Verstößen können demnach Geldbußen in Höhe von bis zu zehn Millionen Euro oder bis zu zwei Prozent des Jahresumsatzes fällig werden.
