Passwörter von vielen Millionen Facebook-Nutzer sind für Mitarbeiter des Online-Netzwerks im Klartext zugänglich gewesen. "Wir gehen davon aus, dass wir hunderte Millionen Nutzer von Facebook Lite, Dutzende Millionen weitere Facebook-Nutzer sowie zehntausende Instagram-Nutzer benachrichtigen werden", erklärte das Unternehmen.

Facebook habe keine Hinweise darauf, dass jemand intern missbräuchlich darauf zugegriffen habe, hieß es weiter. Die Passwörter seien auch für niemanden außerhalb des Unternehmens sichtbar gewesen.
Die betroffenen Nutzer sollen dennoch "als Vorsichtsmaßnahme" benachrichtigt werden, obwohl es keinen Hinweis auf einen Missbrauch der Daten gebe. Die Passwörter hätten eigentlich auch intern unkenntlich sein müssen. Der Fehler sei bei einer Routine-Prüfung im Januar aufgefallen. Er sei inzwischen behoben worden - Facebook machte keine Angaben dazu, wann genau.
Facebook Lite ist eine abgespeckte Version für Nutzer des Online-Netzwerks in Regionen mit langsamen Internet-Leitungen.

Facebook macht keine Angaben
Kurz vor der Facebook-Mitteilung hatte der IT-Sicherheitsexperte Brian Krebs in seinem Blog von dem Fall berichtet. Er schrieb unter Berufung auf einen nicht namentlich genannten Facebook-Insider, mehr als 20.000 Mitarbeiter des Online-Netzwerks hätten Zugriff auf die im Klartext gespeicherten Passwörter haben können. Insgesamt könnten 200 bis 600 Millionen Facebook-Nutzer betroffen sein.
Die Archiv-Dateien mit unverschleierten Passwörtern gingen bis ins Jahr 2012 zurück, hieß es bei Krebs weiter. Laut Logdaten hätten rund 2000 Entwickler rund neun Millionen interne Abfragen für Daten-Elemente gemacht, die ungeschützte Passwörter enthielten, schrieb der Sicherheitsexperte unter Berufung auf den Firmen-Insider. Facebook machte dazu zunächst keine Angaben

Quelle: Nächster Riesen-Skandal bei Facebook: Netzwerk speichert hunderte Millionen Nutzer-Passwörter ungeschützt - CHIP

Erneute Datenpanne bei Facebook

Sicherheitsforscher finden über 540 Millionen Datensätzen von Facebook-Anwendern auf frei zugänglichen AWS-Servern. Sie stammen von Drittanbieter-Apps, denen Facebook Zugriff auf bestimmte Informationen seiner Nutzer gewährt.

Das auf Datenleaks spezialisierte Sicherheitsunternehmen UpGuard hat auf zwei frei zugänglichen AWS-Servern 540 Millionen Datensätzen von Facebook-Nutzern gefunden. Sie stammen von Drittanbieter-Apps, denen Facebook Zugriff auf bestimmte Anwenderdaten erlaubt. Die eine App stammt von dem mexikanischen Medienunternehmen Cultura Colectiva, dessen Datensatz auf den AWS-Servern einen Speicherplatz von 146 Gigabyte belegen. Der Datensatz enthält Kommentaren, Vorlieben, Reaktionen, Kontonamen, FB-IDs und mehr.

Der zweite Datenfund geht auf die Sammelleidenschaft der in Facebook integrierten App mit dem Titel „At the Pool“ zurück. Deren Daten setzen sich aus fb_user_id, fb_user, fb_friends, fb_likes, fb_music, fb_movies, fb_books, fb_photos, fb_events, fb_groups, fb+checkins, fb_interests, Passwürtern und mehr zusammen. Die Passwörter sind vermutlich für die App „At the Pool“ und nicht für das Facebook-Konto des Benutzers, würden aber Benutzer gefährden, die das gleiche Passwort kontenübergreifend wiederverwendet haben.
Die At the Pool-Entdeckung ist nicht so groß wie der Datensatz von Cultura Colectiva, enthält aber Klartext-Passwörter für 22.000 Benutzer. At the Pool wurde 2014 eingestellt und auch die Website der Muttergesellschaft gibt derzeit eine 404-Fehlermeldung zurück. Jeder der Datensätze wurde in einem eigenen Amazon-S3-Bereich gespeichert, der so konfiguriert ist, dass er das öffentliche Herunterladen von Dateien ermöglicht.

Obwohl das Sicherheitsunternehmen Cultura Colectiva, AWS und Facebook bereits im Januar informiert hatte, waren die Datensätze bis gestern frei zugänglich. Erst nachdem Facebook von Bloomberg um eine Stellungnahme gebeten wurde, wurden die Daten gesichert.
Der zweite Amazon-Server, der App-Daten von At the Pool gespeichert hatte, wurde hingegen deaktiviert, noch bevor UpGuard die Möglichkeit hatte, das Unternehmen hinter dem Facebook-Spiel zu identifizieren und zu kontaktieren. „Es ist nicht bekannt, ob dies ein Zufall ist, ob eine Hosting-Periode abgelaufen ist oder ob eine verantwortliche Partei von der Exposition zu diesem Zeitpunkt Kenntnis erlangt hat. Unabhängig davon ist die Anwendung nicht mehr aktiv und alle Anzeichen deuten darauf hin, dass die Muttergesellschaft geschlossen wurde“, sagte UpGuard.

Diese beiden neuen Datenlecks zeigen, dass Facebook nicht in der Lage ist, ein Mindestmaß an Privatsphäre für seine Nutzer zu ermöglichen, obwohl es über eines der besten Teams von Cybersicherheitsexperten verfügt, die regelmäßig sicherheitsrelevante Funktionen zu den Benutzerkonten und der IT-Infrastruktur hinzufügt. Offenbar hat das Unternehmen aber die Kontrolle über seinen wichtigsten Vermögenswert – die Daten seiner Benutzer – verloren, sodass diese früher oder später auf irgendwelchen Servern zum Vorschein kommen.

Quelle: Erneute Datenpanne bei Facebook | ZDNet.de

Abermals Datenschutz-Panne bei Facebook

Facebook hat gegen den Willen der Nutzer Kontaktdaten hochgeladen. Ein Fehler, den Facebook nun einräumte und behoben hat.

Facebook musste abermals eine Datenschutz-Panne einräumen: Seit Mai 2016 lud das soziale Netzwerk ohne Erlaubnis die E-Mail-Kontakte von bis zu 1,5 Millionen Nutzern hoch. Entdeckt hatten die Entwickler den Fehler nach einer Änderung am Anmeldeverfahren im vergangenen Monat. Facebook bestätigte den Fehler und erklärte, dass er nun behoben sei. Die Daten seien "unabsichtlich" hochgeladen worden und wurden nicht mit Dritten geteilt. Die Kontaktdaten will Facebook nun löschen und die betroffenen Nutzer benachrichtigen.

Zunächst hatte Business Insider über die Datenschutz-Panne berichtet. Die Kontaktdaten wurden in einigen Fällen bei der Bestätigung der E-Mail-Adresse eines neuen Nutzers durch Eingabe des Passworts hochgeladen. Facebook hatte die Möglichkeit, auf diese Weise das E-Mail-Konto zu bestätigen, nach Kritik von Datenschutz-Experten vor Kurzem abgeschafft. Facebook habe nicht auf den Inhalt der E-Mails der Nutzer zugegriffen, erklärte ein Unternehmenssprecher gegenüber Business Insider. Aus den Kontakte der Nutzer geht allerdings hervor, mit wem die Menschen kommunizieren.

Facebook hat die Adressbücher von 1,5 Millionen Nutzern ausgelesen. Doch die Gesamtzahl der Betroffenen ist höher, denn so mancher Nutzer hat Hunderte Kontakte in seinem Mail-Konto gespeichert. Somit sind durchaus Dutzende oder sogar Hunderte von Millionen Menschen von der Datenschutz-Panne betroffen, vermutet Business Insider. Der Facebook-Sprecher wollte keine Angaben zur Gesamtzahl machen.

Bereits in den vergangenen Jahren waren Facebook immer wieder Datenschutz-Pannen unterlaufen. Unter anderem hatten mehrere Millionen Nutzer ihre Beiträge möglicherweise ungewollt mit der ganzen Welt geteilt statt nur mit Freunden.

Quelle: Abermals Datenschutz-Panne bei Facebook | heise online

Millionen von Instagram-Zugangsdaten kompromittiert

Ende März hatte Facebook eine Datenpanne zunächst kleingeredet. Nun gibt der Konzern zu: Statt "Zehntausende" sind "Millionen" von Instagram-Nutzern betroffen.

Eine Datenpanne bei Instagram erweist sich als deutlich gravierender als zunächst von Facebook kommuniziert. Ende März hatte der Konzern zugegeben, dass die Passwörter von Hunderten Millionen Nutzern von Facebook-Diensten intern im Klartext abgespeichert und für Mitarbeiter des Unternehmens zugänglich gewesen seien. Es seien auch Zugangsdaten "zehntausender Instagram-Nutzer" betroffen, hatte der Konzern in einem Blog-Beitrag mitgeteilt.

Den Beitrag hat Facebook gestern um einen Absatz ergänzt. "Nachdem dieses Posting veröffentlicht wurde, haben wir weitere Logs mit Instagram-Passwörtern im Klartext gefunden", heißt es nun. Man schätze nunmehr, dass "Millionen von Instagram-Nutzern betroffen sind". Sie alle würden bald in Kenntnis gesetzt. Es gebe keine Hinweise darauf, dass die Daten intern missbraucht worden seien.

Quelle: Millionen von Instagram-Zugangsdaten kompromittiert | heise online

Facebook: Datenschutzbehörden werden aktiv

Dem Unternehmen droht in den USA nicht nur eine milliardenschwere Geldstrafe - die FTC diskutiert auch eine direkte Bestrafung von CEO Mark Zuckerberg. Weitere Untersuchungen zu den Datenschutzskandalen laufen in Europa und Kanada.

Die nicht endende Serie von Facebooks Datenschutzskandalen ruft Behörden mehrerer Länder auf den Plan, die sich jahrelang zurückhielten und durch Versprechungen besänftigen ließen. Die US-Handelsaufsicht FTC wird voraussichtlich nicht nur das bislang höchste Bußgeld in ihrer Geschichte gegen das Unternehmen verhängen. Darüber hinaus diskutieren die Mitglieder der fünfköpfigen Kommission eine Vergleichsverfügung mit verschärften Bedingungen. Diese sollen von einer stärkeren Überwachung von Facebooks Datenschutzpraktiven bis zu größeren Beschränkungen reichen, was das Teilen von Daten mit Dritten angeht.

Laut New York Times drängt ein Kommissionsmitglied außerdem auf eine Bestrafung, die CEO Mark Zuckerberg persönlich trifft. Seiner Einschätzung nach reiche die vorgeschlagene Geldstrafe nicht aus, das Verhalten Facebooks zu ändern – und für eine wirkungsvolle Regulierung könnte zudem eine gerichtliche Auseinandersetzung erforderlich sein.

Die Federal Trade Commission hat noch keinen Konsens erzielt, aber die Entscheidung dürfte bald fallen. Dafür spricht auch, dass Facebook bereits eine Rückstellung von 3 Milliarden Dollar für die erwartete Strafzahlung gebildet hat, die sich auf bis zu 5 Milliarden Dollar belaufen könnte. Mit der Geldstrafe soll geahndet werden, dass das Social Network im Rahmen des Cambridge-Analytica-Skandals gegen Auflagen verstieß, auf die es sich 2011 nach einem Datenverlust mit der FTC geeinigt hatte.

In der Europäischen Union ist der irische Datenschutzbeauftragte für Facebook zuständig, das wie andere Technikkonzerne seinen europäischen Hauptsitz in Irland hat, was für das Land von großer wirtschaftlicher Bedeutung ist. Seine auffallende Zurückhaltung bei Beschwerden gegen Facebook konnte daher kaum verwundern, aber die Vorgaben der europäischen Datenschutz-Grundverordnung (DSGVO) scheinen auch ihn zu größerer Aktivität zu drängen. Der oberste Datenschützer leitete jetzt eine Untersuchung ein, nachdem Facebook mehrere Hundert Millionen Passwörter im Klartext speicherte und die unverschlüsselten Passwörter zum Teil jahrelang für Tausende Facebook-Mitarbeiter einsehbar waren. In einer Erklärung der Behörde ist von einer gesetzlich erforderlichen Untersuchung die Rede, um zu bestimmen, ob Facebook seinen Verpflichtungen hinsichtlich der DSGVO entsprochen hat.

Kanadische Regulierer wollen jetzt ernsthaft gegen Facebook vorgehen nach einer jahrelangen Untersuchung seiner Datenschutzpraktiken, die sich auf den Cambridge-Analytica-Skandal konzentrierte. Sie werfen Facebook einen großen Vertrauensbruch vor. Das Social Network habe sich seiner Verantwortung für die von ihm verwalteten persönlichen Informationen entzogen und diese Verantwortung den Nutzern und Apps zugeschoben. Die Regulierer beklagen jedoch ihre unzureichenden Befugnisse, mit denen sie Facebook nicht wirksam zum Schutz der Privatsphäre kanadischer Bürger bewegen könnten. Sie wollen daher das kanadische Bundesgericht anrufen, um das Unternehmen zum Handeln zu zwingen.

Die New Yorker Generalstaatsanwältin Letitia James reagiert mit Ermittlungen auf das Auslesen von E-Mail-Kontakten von Facebook-Nutzern, das fast drei Jahre lang im Rahmen der Bestätigung neuer Nutzerkonten und ohne Zustimmung der Betroffenen erfolgte. Facebook räumte das ein, nachdem ein Sicherheitsforscher darauf aufmerksam machte – gab aber an, das sei nur versehentlich erfolgt und habe zudem „nur 1,5 Millionen User“ betroffen. James schätzt jedoch die insgesamte Zahl weit höher ein, denn tatsächlich könnten die Daten von hunderten Millionen Nutzern abgegriffen worden sein. Ihre Untersuchung soll sich auf die tatsächliche Zahl konzentrieren und darauf, wie es zu der Datensammlung kam. „Es ist an der Zeit, Facebook dafür zur Verantwortung zu ziehen, wie es mit den persönlichen Informationen der Verbraucher umgeht“, heißt es in einer Stellungnahme der Generalstaatsanwältin. „Facebook hat wiederholt einen mangelnden Respekt für die Informationen der Verbraucher demonstriert, während es zugleich von der Auswertung dieser Daten profitierte.“

Quelle: Facebook: Datenschutzbehörden werden aktiv | ZDNet.de