Mittlerweile rollt man nur noch die Augen, wenn wieder von einer Datenpanne bei Facebook berichtet wird. Wirklich verwundert ist keiner aber mehr so richtig. Was geschah?

In der zweiten Märzhälfte berichtete der Sicherheitsforscher Brian Krebs als Erster von einer internen Datenpanne im Hause Facebook. Mehrere Hundertmillionen Passwörter von Facebook Konten waren protokolliert worden und in ungeschütztem Plaintext auf internen Servern abgelegt worden.

Brian Krebs erfuhr dies als erster von einer anonymen internen Quelle. Und kurz darauf veröffentlichte Facebook erst seine offizielle Erklärung zu diesem Vorfall, mit dem es sich erstaunlicherweise intern schon seit Januar auseinandergesetzt hatte. Laut der Untersuchung, lagen die Plaintext Passwörter wohl schon sehr lange auf dem internen Server – die Rede ist von mindestens sechs Jahren. Klar, dass da die Frage aufkommt, ob in dem Zeitraum einer oder mehrere der vielen Tausend Facebook Angestellten die Passwörter missbraucht haben könnten. Die Facebook Quelle berichtete, dass die interne Untersuchung bisher keinen Datenmissbrauch aufgedeckt habe. Sie berichtete weiter, dass aus Zugriffsprotokollen hervorgehen würde, dass rund 2.000 Softwareingenieure oder -entwickler etwa neun Millionen interne Abfragen hierzu durchgeführt hätten über den gesamten soweit untersuchten Zeitraum. Intern wäre Facebook allerdings noch damit beschäftigt eine Reihe von anderen Sicherheitspannen zu untersuchen.

Der Zusammenhang zu anderen Datenpannen bei Facebook wird untersucht

In einem darauffolgenden offiziellen Gespräch mit Scott Renfro, einen Softwareingenieur von Facebook, erfuhr Brian Krebs später noch ein paar weitere Details. Demnach sei der Vorfall im Januar 2019 ans Licht gekommen. Sicherheitsingenieure, die neue Codes überprüften, fiel auf, dass Kennwörter versehentlich in Klartext gespeichert waren. Renfro sagte:

„Eine Taskforce wurde mit der Überprüfung betraut. Sie hat bei ihren Ermittlungen bisher weder Fälle gefunden, in denen jemand absichtlich nach Passwörtern gesucht hat, noch hat sie Anzeichen für einen Missbrauch dieser Daten festgestellt.“

Laut Renfro wären diese Passwörter rein versehentlich protokolliert worden. Es hätte nie ein handfestes Sicherheitsrisiko bestanden und daher wäre es nicht nötig, die Passwörter zurückzusetzen. Von Renfro erfuhr er auch, dass Facebook langfristige Infrastrukturänderungen einplant, um weitere derartige Vorfälle zu verhindern. Brian Krebs erhielt auch ein offizielles Schreiben von Facebook. Dies bestätigte, dass sowohl Facebook-Nutzer, Facebook Lite-Nutzer und auch einige Zehntausend Instagram-Nutzer davon betroffen seien.

Facebook nutzt normalerweise immer eine kryptografische Hashing-Technik und ein zusätzliches sogenanntes Salting der Hashes, das Daten verschlüsselt. Und so sollte es auch sein laut den geltenden Sicherheitsstandards. Daher kann es sich tatsächlich nur um einen unabsichtlichen Vorfall handeln. Dennoch – so etwas darf einfach nicht passieren.

Was den Sans Sicherheitsexperten John Pescatore ins Grübeln bringt, ist, dass Facebook behauptet, das alles sei während einer routinemäßigen Sicherheitsüberprüfung im Januar gefunden worden. Für Pescatore wirft das zwei Fragen auf: Zum einen hat Facebook bis zum 21. März nichts darüber öffentlich bekannt gegeben, sondern erst, nachdem ein Insider Brian Krebs informiert hatte. Und zum anderen, wenn die Klartext Daten bereits seit 2012 auf dem Server saßen, warum wurde das nicht schon lange durch detaillierte oder routinemäßigen Sicherheitsüberprüfungen festgestellt? Die Frage stellt sich auch, warum das den vielen Tausend Ingenieuren, die auf die Daten zugegriffen haben, nicht aufgefallen ist.

Ähnliche Vorfälle, allerdings ging es dabei um deutlich weniger Daten und einen viel kürzeren Zeitraum, gabs übrigens bei Twitter und Github im Mai 2018. Ein Systemfehler speicherte bei Twitter 330 Millionen Kennwörter in Plaintext ab auf internen Protokollen. Daraufhin riet Twitter seinen Nutzern, alle Passwörter zu ändern. Bei Github waren lediglich wenige Zehntausend Nutzer

Artikel von krebsonsecurity.com, 21.03.2019: Facebook Stored Hundreds of Millions of User Passwords in Plain Text for Years
Artikel von cnet.com, 21.03.2019: Facebook passwords by the hundreds of millions sat exposed in plain text
Artikel von eweek.com, 21.03.2019: Facebook Admits It Left Hundreds of Millions of User Passwords Exposed
Artikel von motherboard.vice.com, 21.03.2019: Facebook Mistakenly Stored ‘Hundreds of Millions’ of User Passwords as Plaintext

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0