Unter dem wohlklingenden Titel “Keeping Passwords Secure” vermeldet Facebook, dass sie offenbar seit 2012 in einer intern zugänglichen Datenbank Nutzer-Passwörter im Klartext gespeichert hatten, einsehbar für viele Mitarbeiter.

In einer lakonischen Mitteilung im Blog namens “Newsroom” berichtet Facebook am 21. März:

“As part of a routine security review in January, we found that some user passwords were being stored in a readable format within our internal data storage systems. This caught our attention because our login systems are designed to mask passwords using techniques that make them unreadable. We have fixed these issues and as a precaution we will be notifying everyone whose passwords we have found were stored in this way.”

“Einige” Kennwörter von Nutzern sind offenbar in einer internen Datenbank gefunden worden. Diese wären nötig, um das Login-System zu testen, damit es Kennwörter unlesbar mache. Aha! Mein Vorschlag an dieser Stelle: NEhmt doch einfach einen mittelgroßen Haufen Dummy-Kennwörter. Funktioniert genauso und ist wenigstens kein Security-GAU.

Nachschlag

Vier Wochen später schiebt Facebook eine kleine Notiz zwischen die Zeilen:

(Update on April 18, 2019 at 7AM PT: Since this post was published, we discovered additional logs of Instagram passwords being stored in a readable format. We now estimate that this issue impacted millions of Instagram users. We will be notifying these users as we did the others. Our investigation has determined that these stored passwords were not internally abused or improperly accessed).

“millions of Instagram users” – Millionen Instagram-Nutzer sind von dem gleichen Problem betroffen. Na, da sage mal einer, Facebook trenne scharf zwischen den verschiedenen Anwendungen.

Mein Tipp: Es lebt sich auch wunderbar ohne diese Dienste.