Eine erneute Schwachstelle: Wie das Netzwerk nun bekannt gab, speicherte es Facebook-Passwörter von Millionen Nutzern unverschlüsselt auf internen Servern. Angeblich hatten aber lediglich Mitarbeiter Zugriff auf die Informationen. Und angeblich sei nur eine bestimmte Version von Facebook betroffen. Über die Arbeitsweise sagt das einiges aus.
Das Team um Mark Zuckerberg kommt nicht zur Ruhe. Nachdem in jüngster Vergangenheit immer wieder Verstöße gegen den Datenschutz oder andere Schwachstellen bekannt wurden, offenbarte das Netzwerk selbst nun eine neue im Januar 2019 entdeckte Sicherheitslücke.
In einem Blogpost teilte die Plattform mit, dass Hunderte Millionen Facebook-Passwörter für Mitarbeiter einsehbar waren. Insgesamt könnten 200 bis 600 Millionen Nutzer dabei betroffen sein. Denn die Archiv-Dateien mit ungesicherten Passwörtern gingen bis ins Jahr 2012 zurück.
Neue Stellenangebote
|
Social Media Specialist (w/m/d) statworx GmbH in Frankfurt am Main |
|
|
Werkstudent:in Social Media Performance (m/w/d) Bayernwerk AG in Regensburg |
|
|
(Junior) Social Media & E-Mail Marketing Manager (m/w/d) Russ Jesinger Vertriebs GmbH & Co. KG Nürtingen in Dettingen |
Zwar habe man keine Hinweise darauf, dass eigene Mitarbeiter missbräuchlich die Passwörter genutzt haben, doch absolute Sicherheit gebe es natürlich nicht. Jedoch seien die Facebook-Passwörter für niemanden außerhalb des Unternehmens einsehbar gewesen.
Nur Nutzer von Facebook-Lite betroffen
Nutzer, deren Facebook-Passwörter im Klartext auf einer internen Plattform vorlagen, verwendeten in der Vergangenheit die abgespeckte Lite-Version von Facebook. Sie wird überwiegend von Mitgliedern des Netzwerks in Regionen mit schwachen Internet-Leitungen benutzt.
Um etwaigen Missbrauch vorzubeugen, werden die betroffenen Mitglieder benachrichtigt mit dem Hinweis, ihr Passwort umgehend zu ändern. Ebenso wird ihnen empfohlen, eine Zwei-Schritt-Authentifizierung einzurichten.
Ehe Facebook den aktuellen Datenskandal zugab, deckte der IT-Sicherheitsexperte Brian Kerbs in seinem Blog das Leck auf. Unter Berufung auf einen nicht namentlich genannten Insider von Facebook gibt er an, dass angeblich mehr als 20.000 Mitarbeitern der Plattform die Zugangsdaten als „plain text“ – also unkodiert – vorlagen.
Facebook gab daraufhin an, dass der Fehler bei einer internen Prüfung im Januar 2019 entdeckt und inzwischen behoben worden sei. Wann genau dies geschah, darüber machte das Netzwerk keine Angaben.
Facebooks Arbeitsweise: Von Professionalität keine Spur
Die neuesten Nachrichten zu Facebooks Umgang mit sensiblen Nutzerdaten lässt wieder einmal jegliches Verantwortungsgefühl vermissen.
Passwörter unkodiert zu speichern und einer Vielzahl an Mitarbeitern zugänglich zu machen, ist ein Vorgehen, das von Schlampigkeit zeugt. Jeden professionellen und verantwortungsbewussten Entwickler lässt diese Nachricht irritiert zurück.
Es wird noch einige Zeit dauern, will Facebook das Vertrauen seiner Nutzer (zurück-) gewinnen. Um seinen Kunden mehr Privatsphäre und Datenschutz zu bieten, sollten Facebook und Mark Zuckerberg zunächst Taten sprechen lassen – und ihre Hausaufgaben machen.
Auch interessant:
Guten Abend,
so sehr ich mir wünschen würde, dass sie Recht haben mit der Aussage
> Passwörter unkodiert zu speichern und einer Vielzahl an Mitarbeitern zugänglich zu machen, ist ein Vorgehen, das von Schlampigkeit zeugt. Jeden professionellen und verantwortungsbewussten Entwickler lässt diese Nachricht irritiert zurück.
muss ich Ihnen hier leider widersprechen.
Das Problem ist seit Jahren bekannt (siehe etwa https://blog.fefe.de/?ts=a80eed03 ) und weit verbreitet ( https://blog.fefe.de/?q=bug & https://blog.fefe.de/?q=nutzt+hier ), wird aber in vielen Fällen schlichtweg ignoriert.
Denn das Aufkommen von Bugs wird als so unwahrscheinlich wahrgenommen, dass es wissentlich in Kauf genommen wird.
Vielleicht können sie das Thema ja einmal in Ihrem Coworking-Space anschneiden 🙂
Ich würde mich über einen Follow-Up-Artikel freuen.
Falls Sie Felix von Leitner aka Fefe nicht kennen, finden Sie Information auf Wikipedia. Vor einer Kontaktaufnahme empfehle ich, https://blog.fefe.de/faq.html zu lesen und zu berücksichtigen 🙂
Mit freundlichen Grüßen
André