Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Der nächste Datenskandal: Facebook speicherte hunderte Millionen Passwörter von Nutzern im Klartext

Facebook macht es Datenschützern in den letzten Jahren sehr leicht, den Konzern wegen des Umgangs mit Nutzerdaten zu kritisieren. Ein anonymer Tippgeber hat sich an die Sicherheitswebseite KrebsOnSecurity gewandt und ein neues großes Datenschutzproblem bei Facebook offengelegt – zwischen 200 und 600 Millionen Klartext-Passwörter werden auf internen Facebook-Servern gespeichert und können von etwa 20.000 Mitarbeitern ohne spezielle Zugangsregeln ausgelesen und verwendet werden. Die Daten reichen bis ins Jahr 2012 zurück.


Keine Chiffrierung der Passwörter
Webseitenbetreiber speichern im Normalfall nur gekürzte und chiffrierte Passwörter – falls unberechtigter Zugriff auf die Nutzerdatenbank stattfindet, können die Angreifer wenigstens nicht die Klartext-Passwörter entwenden. Dies hat den großen Vorteil, dass eine Anmeldung mit den chiffrierten Passwörtern am Dienst selbst oder an anderen Webdiensten, falls der Nutzer das Passwort mehrfach verwendet hat, nicht möglich ist.

9 Millionen Anfragen nach Klartext-Passwörtern
Über Zugriffsberichte konnte die anonyme Quelle herausfinden, dass etwa 2.000 Entwickler über neun Millionen Abfragen an die internen Server stellten, welche Klartext-Passwörter beinhalteten. Hauptsächlich scheinen auf den internen Servern Nutzerpasswörter der Facebook- und Instagram-Apps abgelegt worden zu sein.

Problem schon seit Januar bekannt – Facebook sieht bei Nutzern keinen Handlungsbedarf
Laut der anonymen Quelle hat Facebook das Sicherheitsproblem schon im Januar aufgedeckt aber nicht öffentlich bekannt gegeben – ob Facebook den Datenschutzverstoß auch ohne den Tippgeber gemeldet hätte sei einmal dahingestellt. Facebook hat eigenen Angaben nach eine kleine interne Taskforce zusammengestellt, welche untersuchen soll, wie es zu dem Datenschutzverstoß kam und wie solche Probleme zukünftig vermieden werden können.

Facebook sieht es derzeit nicht als notwendig an die Vergabe eines neuen Passwortes zu verlangen – man wolle aber betroffene Nutzer zeitnah informieren. Warum der Konzern betroffene Facebook-User nicht schon im Januar nach Aufdeckung des Sicherheitsrisikos kontaktierte teilte Facebook nicht mit. Eigenen Angaben nach gebe es keinerlei Hinweise, dass durch die intern frei zugänglichen Klartext-Passwörter Schaden entstanden sei.
Qualitätsprobleme bei MacBook-Displays: Apple tauscht Zulieferer aus, fing Charge aber ab
Qualitätsprobleme bei MacBook-Displays: Apple t...
Gegenüberstellung: AirPods 4 vs. AirPods Pro 2
Gegenüberstellung: AirPods 4 vs. AirPods Pro 2
Mac mini M4
Mac mini M4
Eskalationskurs: ARM kündigt Qualcomm die Design-Lizenz
Eskalationskurs: ARM kündigt Qualcomm die Desig...
Beddit ist Geschichte, Apple entfernt Apps
Beddit ist Geschichte, Apple entfernt Apps
Bewertung der gestrigen Neuvorstellungen: Umwerfend ist anders
Bewertung der gestrigen Neuvorstellungen: Umwer...
Kurz: Schon wieder neue AirPods-Firmware +++ Severance Staffel 2: Trailer erschienen
Kurz: Schon wieder neue AirPods-Firmware +++ Se...
iOS 18 und iPadOS 18 lassen sich ab sofort laden
iOS 18 und iPadOS 18 lassen sich ab sofort laden

Kommentare

little_pixel22.03.19 08:50
Guten morgen,

ich bin nicht bei Facebook und somit betrifft mich die Thematik nicht.
Unschön, aber mich würde die Sache auch nicht in Schwitzen bringen.
falls der Nutzer das Passwort mehrfach verwendet hat

Der entscheidende Punkt und hier kann man nur immer wieder wiederholen, dass ein Passwortmanager (oder eben Schlüsselbund) in der heutigen Zeit zu der "Basisausstattung" jedem Anwender gehören sollte.
Ich kenne bis auf mein Master- und Apple-ID-Passwort kein einziges meiner Passwörter.

Bitte liebe Leser, die wirklich ihre Passwörter tippen und euch ertappt fühlen, setzt euch einmalig mit einem Passwortmanager auseinander und geht diesen Weg.
Im Alltag bei der Verwendung ist es nicht im Ansatz aufwändiger, ja sogar komfortabler mit Touch- und Face-ID.

Viele Grüße
+6
Stefan-s22.03.19 08:56
little_pixel
Guten morgen,

ich bin nicht bei Facebook und somit betrifft mich die Thematik nicht.
Unschön, aber mich würde die Sache auch nicht in Schwitzen bringen.
falls der Nutzer das Passwort mehrfach verwendet hat

Der entscheidende Punkt und hier kann man nur immer wieder wiederholen, dass ein Passwortmanager (oder eben Schlüsselbund) in der heutigen Zeit zu den "Basisausstattung" jedem Anwender gehören sollte.
Ich kenne bis auf mein Master- und Apple-ID-Passwort kein einziges meiner Passwörter.

Bitte liebe Leser, die wirklich ihre Passwörter tippen und euch ertappt fühlen, setzt euch einmalig mit einem Passwortmanager auseinander und geht diesen Weg.
Im Alltag bei der Verwendung ist es nicht im Ansatz aufwändiger, ja sogar komfortabler mit Touch- und Face-ID.

Viele Grüße

Ist ja alles gut und schön und richtig.

Aber ändert nichts daran, daß man dem Zuckerzwerg und seiner Bande für ihre ständigen Schweinereien kräftig auf die Pfoten hauen muß, und zwar so, daß es ihm richtig weh tut.
+14
coin_op22.03.19 09:06
Gähn.... wo is die Neuigkeit der News
0
trw
trw22.03.19 09:07
Stefan-s
... Ist ja alles gut und schön und richtig.
Aber ändert nichts daran, daß man dem Zuckerzwerg und seiner Bande für ihre ständigen Schweinereien kräftig auf die Pfoten hauen muß, und zwar so, daß es ihm richtig weh tut.

Ich glaube, das wird wahrscheinlich doch (leider!) eher nicht oder nur "symbolisch" passieren.

Dazu hat Facebook mittlerweile doch viel zu viel "Macht" (allein durch die Milliarden Nutzer).
Drakonische Strafen, große Änderungen, "Zerschlagung"/"Teilung", etc. würde(n) doch sicher zu so viel Aufschrei der Nutzer führen, dass sich da wahrscheinlich eh nur sehr wenige Politiker/Behörden/etc. rantrauen würden, oder?
+2
MLOS22.03.19 09:08
Stefan-s

Kann ich nur zustimmen. So etwas darf unabhängig davon, ob nun ein PW-Manager eingesetzt wird oder nicht, nicht passieren... Ich hoffe, dass ich den Tag erleben darf, an dem der Saftladen endlich dicht gemacht wird.
+8
rene204
rene20422.03.19 09:21
Es kann doch kein Schaden entstanden sein... "Eigenen Angaben nach gebe es keinerlei Hinweise, dass durch die intern frei zugänglichen Klartext-Passwörter Schaden entstanden sei.
"

Facebook, WA und Instagram-Nutzer haben doch NICHTS zu verbergen....
Gelassenheit und Gesundheit.. ist das wichtigste...
0
verstaerker
verstaerker22.03.19 09:23
MLOS
Ich hoffe, dass ich den Tag erleben darf, an dem der Saftladen endlich dicht gemacht wird.

und ich wette mit dir das selbst solche fundamentalen Datensicherheitsskandale nichts an der Unbekümmertheit vieler Millionen Nutzer ändern wird.
Das ist einfach nur traurig.
+2
depeche101mode22.03.19 09:35
verstaerker

Stimmt, leider...
+1
little_pixel22.03.19 09:52
Hallo zusammen,

@Stefan-s @MLOS

Ihr müßt aber berücksichtigen, dass wir auf das alles keinen Einfluss haben.
Welches Passwort ich aber in die Datenbank eintrage sehr wohl.
Und das ist mein Appell…

Viele Grüße
+2
frodo200722.03.19 09:59
little_pixel
Der entscheidende Punkt und hier kann man nur immer wieder wiederholen, dass ein Passwortmanager (oder eben Schlüsselbund) in der heutigen Zeit zu der "Basisausstattung" jedem Anwender gehören sollte.
Ich kenne bis auf mein Master- und Apple-ID-Passwort kein einziges meiner Passwörter.

Bitte liebe Leser, die wirklich ihre Passwörter tippen und euch ertappt fühlen, setzt euch einmalig mit einem Passwortmanager auseinander und geht diesen Weg.
Im Alltag bei der Verwendung ist es nicht im Ansatz aufwändiger, ja sogar komfortabler mit Touch- und Face-ID.

Für die von Dir angesprochenen "Leser, die wirklich ihre Passwörter tippen und euch ertappt fühlen", sollte der in iOS und macOS integrierte Schlüsselbund vollkommen ausreichend sein.
0
cab22.03.19 10:50
Unter diesen Umständen reicht ja mein "1234" Passwort locker.
+2
Peter Eckel22.03.19 11:05
little_pixel
ich bin nicht bei Facebook und somit betrifft mich die Thematik nicht.
Unschön, aber mich würde die Sache auch nicht in Schwitzen bringen.
falls der Nutzer das Passwort mehrfach verwendet hat
Ja und nein ...

Ich schließe mich Deiner Empfehlung, einen Paßwortmanager zu benutzen, in vollem Maße an. Das kann man wirklich nicht oft genug unterstreichen: Jeder, wirklich jeder Account sollte ein eigenes, nicht zu erratendes (ergo am besten zufällig generiertes) Paßwort haben.

Leider hat sich das nicht weit genug herumgesprochen, und ich vermute, daß von den mehreren hundert Millionen betroffenen mehrere hundert Millionen nur ein Paßwort haben und dieses überall benutzen.

Aber die Sache bei Facebook ist eine noch etwas komplexere, da der Facebook-Account auch gern als Authentifizierungsmerkmal bei anderen Diensten genutzt wird. Das ist bequem, praktisch und sehr idiotisch. Wie der vorliegende Fall zeigt, ist Facebook auch als Authentifizierungsdienst nicht vertrauenswürdig, und das Login dort dann bei anderen Diensten einzusetzen eine ... sagen wir, verbesserungswürdige Idee.
Ceterum censeo librum facierum esse delendum.
+2
Peter Eckel22.03.19 11:09
trw
Drakonische Strafen, große Änderungen, "Zerschlagung"/"Teilung", etc. würde(n) doch sicher zu so viel Aufschrei der Nutzer führen, dass sich da wahrscheinlich eh nur sehr wenige Politiker/Behörden/etc. rantrauen würden, oder?
Ja. Absolut.

Aber es gibt noch Politikerinnen (und vermutlich auch Politiker, mir fällt nur gerade keiner ein) mit Arsch in der Hose:

Das ist ja fast schon revolutionär, sich als Politiker öffentlich gegen Facebook zu stellen. Mit dem Aufschrei muß man dann halt umgehen können.
Ceterum censeo librum facierum esse delendum.
0
Peter Eckel22.03.19 11:12
verstaerker
Das ist einfach nur traurig.
Es ist nicht traurig, es ist dumm.

Mark Zuckerberg hat Recht: "They 'trust me'. Dumb fucks"
Ceterum censeo librum facierum esse delendum.
+1
Wiesi
Wiesi22.03.19 11:20
Ich benutzte natürlich auch den Schlüsselbund. Aber manchmal muß man bewußt ein Häkchen setzten, damit das Passwort auch gesichert wird, So z.B. beim verschlüsselten Backup der IOS-Geräte unter iTunes. Keine Warnung wenn man es vergißt. Ich weiß unterdessen, wie man ein neues Passwort setzt, ohne das alte zu kennen. Also Holzauge sei wachsam!
Everything should be as simple as possible, but not simpler
0
Weia
Weia22.03.19 11:49
frodo2007
Für die von Dir angesprochenen "Leser, die wirklich ihre Passwörter tippen und euch ertappt fühlen", sollte der in iOS und macOS integrierte Schlüsselbund vollkommen ausreichend sein.
Nur bedingt, weil er lediglich dann zufällige Passwörter generieren kann, wenn man ihn in iCloud ablegt – was ich seinerseits inakzeptabel fände. Leider ist Apple von dieser idiotischen Koppelung nicht abzubringen.
“I don’t care” is such an easy lie. (The Warning, “Satisfied”)
+2
Peter Eckel22.03.19 11:59
Wiesi
Ich weiß unterdessen, wie man ein neues Passwort setzt, ohne das alte zu kennen. Also Holzauge sei wachsam!
Meinst Du beim Speichern eines Backups? Das geht trivialerweise, ist aber kein Sicherheitsproblem. Um an das bestehende Backup zu kommen, brauchst Du immer noch das Paßwort, mit dem Du es gespeichert hast.

Etwas anderes könnte es sein, wenn Du Dein Backup in iCloud machst. Das wird meines Wissens immer noch unverschlüsselt dort abgelegt, und damit kann man dann natürlich auch an die Daten, ohne das Paßwort zu kennen. Unter anderem deswegen macht man das ja auch lieber nicht.
Ceterum censeo librum facierum esse delendum.
0
Igor Detlev22.03.19 12:22
Peter Eckel

Etwas anderes könnte es sein, wenn Du Dein Backup in iCloud machst. Das wird meines Wissens immer noch unverschlüsselt dort abgelegt, und damit kann man dann natürlich auch an die Daten, ohne das Paßwort zu kennen. Unter anderem deswegen macht man das ja auch lieber nicht.

Daten, die verschlüsselt auf deinem Rechner liegen, z.B. die Schlüsselbunddaten, sind das auch im Backup, auch wenn das Backup selbst nicht zusätzlich verschlüsselt ist.
0
albertyy22.03.19 13:47
Mein neues Passwort ist jetzt :
OHr2HzrSKKJb2nQ3xw6sRSHzIl5PIgg

vorher war es : 1234

Was ist da jetzt der Unterschied ?

Wenn es Facebook sowieso auslesen kann ?

Und da man sich ja über Facebook in viele andere Dienste anmelden kann, potenziert sich dieses riesige Problem noch einmal.
Woher will Facebook denn überhaupt wissen, daß es nicht zu gravierenden "Unstimmigkeiten" gekommen ist ?
Das kann FB doch gar nicht mehr verfolgen. (höchstens nur auf seinem eigenen Portal).....
Und dann muss ein whistleblower erst wieder her....
0
Peter Eckel22.03.19 14:18
Igor Detlev
Daten, die verschlüsselt auf deinem Rechner liegen, z.B. die Schlüsselbunddaten, sind das auch im Backup, auch wenn das Backup selbst nicht zusätzlich verschlüsselt ist.
Das ist trivalerweise klar.

Es geht um das direkte Backup vom iOS-Device auf iCloud. Mir war so (ich habe das nicht im Detail verfolgt, da es mich nicht interessiert - ich nutze keine Cloud-Backups) als könne ein Backup auf iCloud zumindest von Apple auf Anforderung entschlüsselt werden, was nach meiner Definition heißt, daß es nicht wirksam verschlüsselt ist.
Ceterum censeo librum facierum esse delendum.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.