Es gibt ja bereits ausreichend Gründe dafür, deine Daten Facebook nicht anzuvertrauen. Zu diesen gefühlt 1.000 Argumenten ist jetzt noch eines dazugekommen: Wie ein Sicherheitsforscher herausgefunden und Facebook mittlerweile auch zugegeben hat, wurden Hunderte Millionen Passwörter von Facebook- und Instagram-Usern durch einen Fehler im Passwort-Managementsystem im Klartext gespeichert. Seit 2012 und damit für jeden der über 20.000 Facebook-Mitarbeiter über Jahre ganz einfach lesbar. Du solltest also jetzt sofort dein Passwort ändern!
Entdeckt wurde der katastrophale Fehler vom Sicherheitsexperten Brian Krebs. Facebook hat das Ganze bestätigt, gibt aber an, es hätte keinen Missbrauch gegeben. Immerhin hatten ja Tausende Mitarbeiter des Konzerns über Jahre Zugriff auf die Passwörter im Klartext. Es geht laut Facebook um 200-600 Millionen Zugangsdaten! Mehr als 20.000 Mitarbeiter hätten einfach die Datenbank danach durchsuchen können. Ob da tatsächlich nie jemand eine kleine Abfrage gestartet hat?
Inhaltsverzeichnis
Angeblich kein Missbrauch erfolgt? Mehr als 5 Jahre lang?
Bereits seit Jänner untersucht Facebook den Vorfall, der aufgrund von Sicherheitsmankos aufgekommen ist. Laut einem Facebook Softwareentwickler zu Brian Krebs ist vieles noch unklar: „Wir haben bei unseren Untersuchungen bisher keine Fälle gefunden, in denen jemand absichtlich nach Passwörtern gesucht hat, noch haben wir Anzeichen für einen Missbrauch dieser Daten gefunden. In dieser Situation haben wir festgestellt, dass die Passwörter versehentlich protokolliert wurden, aber dass daraus kein tatsächliches Risiko entsteht.“ Sollte es doch zu Missbrauch gekommen sein, werden die Passwörter zurückgesetzt, so der Mitarbeiter.
Geh‘ auf Nummer sicher: Ändere dein Passwort!
In seinem öffentlichen Statement weist Facebook nochmals darauf hin, dass niemand außerhalb von Facebook Zugriff auf die Passwörter gehabt habe und es auch keine Anzeichen zu einem internen Missbrauch gebe. Auch wenn Facebook meint, die Wahrheit zu sprechen. So genau wissen, was über 20.000 Mitarbeiter tun oder nicht, kann wohl kein Unternehmen. Es ist also durchaus möglich, dass zumindest vereinzelt Passwörter missbraucht wurden. Du solltest dein Passwort bei Facebook (und auch Instagram) also jedenfalls ändern. Vorsicht ist besser als Nachsicht.
Anleitung: So änderst du dein Passwort bei Facebook & Instagram
Das Passwort zu ändern ist keine Hexerei:
- Gehe am Facebook Desktop auf Einstellungen -> Sicherheit & Login -> Passwort ändern.
- Auf Facebook für iOS und Android gehe zu Einstellungen & Datenschutz -> Einstellungen -> Sicherheit und Login -> Passwort ändern.
- Bei Instagram gehe ebenfalls auf Einstellungen -> Datenschutz und Sicherheit -> Passwort.
Tipps für deine Passwörter & deren Aufbewahrung
Und wenn du schon mal dabei bist, dich mit deinen Passwörtern zu beschäftigen: So gestaltest du deine Passwörter richtig sicher. Ebenfalls sehr zu empfehlen ist ein Passwortmanager. Dieser speichert alle deine Passwörter in verschlüsselter Form. Eingebaute Passwortgeneratoren helfen dir beim Kreieren sicherer Passwörter. Und natürlich hilft ein Passwortmanager dir dabei, den Überblick zu bewahren und nach einer Passwortänderung kannst du die neuen Passwörter wieder ganz praktisch dort erfassen.
Fehler wurde von Facebook behoben
Der Fehler wurde übrigens von Facebook bereits behoben, die betroffenen User sollen informiert werden. Man denke aber nur an die Risiken, die ein Breach bedeutet hätte. Facebook ist ja 2018 Opfer eines solchen geworden. Hunderte Millionen Passwörter im Klartext auf dem Präsentierteller … Aber gottseidank ist es ja nicht zu einem solchen Datenleck gekommen.
Laut WIRED handelte es sich bei dem Speicher-Fehler nicht um einen einzelnen Bug, sondern um mehrere im Passwort-Managementsystem. Die Passwörter seien auch nicht alle am selben Ort aufbewahrt worden.
Passwörter speichern im Klartext ist ein No-go. Aber wie geht es richtig? Mit Hashing!
Wenn du dein Passwort einer Organisation wie Facebook anvertraust, so muss diese an sich sorgfältig damit umgehen. Vor allem in Europa, hier ist die Sorgfaltspflicht durch die DSGVO besonders streng. Um Passwörter sicher aufzubewahren, können diese mit einer mathematischen Verschlüsselungsmethode namens Hashing noch vor dem Speichern auf den jeweiligen Servern unkenntlich gemacht werden. Auf diesem Wege ist es bei einem Breach so gut wie unmöglich für einen Hacker (und sogar für einen Computer) die Passwörter zu lesen. Allerdings gibt es auch beim Hashing starke und schwache Methoden. Prinzipiell handelt es sich aber um eine Einwegfunktion, sprich sie ist nicht umkehrbar und die Passwörter können nicht einfach „wiederhergestellt“ werden. Werden die Passwörter hingegen – wie eben jetzt bei Facebook – im Klartext gespeichert, sind sie nicht verschlüsselt und können ganz einfach gelesen werden. Ein Jackpot für Hacker …
Quelle: wired.com; Foto: pixabay.com
Erstellt am: 26. März 2019