Schlagwort: Passwörter

Neuer Datenskandal bei Facebook und Instagram – Passwörter im Klartext gespeichert

26. März 2019

Der Journalist und IT-Sicherheitsexperte Brian Krebs berichtete auf seinem Blog über den neusten Datenskandal bei Facebook.

Das soziale Netzwerk soll Passwörter jahrelang nur im Klartext abgespeichert haben. Die Daten der Nutzer seien für mehr als 20.000 Facebook-Mitarbeiter sichtbar gewesen. Betroffen seien geschätzt 200 bis 600 Millionen Nutzer von Facebook, Instagram und Facebook Lite.

Facebook hat in einer Stellungnahme vom 21. März den Vorfall nicht geleugnet, sieht aber kein Missbrauchsrisiko. Laut Facebook gibt es keine Hinweise darauf, dass jemand intern missbräuchlich auf die Passwörter zugegriffen habe. Die Betroffenen werden dennoch vorsichtshalber benachrichtigt.

Die DSGVO schreibt in einem solchen Fall eigentlich eine förmliche Meldung der Datenpanne an die Aufsichtsbehörde nach Art. 33 DSGVO und eine Benachrichtigung aller Betroffenen nach Art. 34 DSGVO vor. Hierzu nimmt Facebook nicht Stellung.

In einer aktuellen Pressemeldung äußert sich der Bundesdatenschutzbeauftragte Ulrich Kelber zu dem Skandal:

„Es ist zwar traurig, aber ein Datenschutzvorfall bei Facebook ist mittlerweile leider keine große Überraschung mehr. Skandalös ist allerdings, dass einer der weltweit größten IT-Konzerne offensichtlich nicht weiß, wie Kundenpasswörter gespeichert werden müssen. Damit setzt Facebook seine Kunden einem unnötigen Risiko aus. Das ist in etwa so, wie wenn sich Fahrgäste in einem Taxi nicht anschnallen können, weil der Fahrer nicht weiß, wie ein Sicherheitsgurt funktioniert.“

Empfohlen wird jedem Nutzer von Facebook und Instagram, sein Passwort zu ändern. Wie man ein sicheres Passwort generiert, können Sie hier in unserem Blog nachlesen.

Eine Anleitung zur kompletten Löschung des Facebook Accounts finden Sie hier.

Es bleibt abzuwarten, wie die für Facebook zuständige Irische Datenschutzbehörde auf den Vorfall reagieren wird. Die Einleitung eines Bußgeldverfahrens erscheint möglich.

Der BfDI ist sich allerdings sicher, dass eine Prüfung durch die Datenschutzaufsichtsbehörden erfolgen wird. In der Pressemitteilung heißt es:

„Zum einen muss geklärt werden, ob Facebook vorliegend gegen Meldevorschriften nach der Datenschutz-Grundverordnung verstoßen hat. Das Problem scheint ja bereits seit Januar bekannt gewesen zu sein. Unabhängig davon wird die in Europa zuständige Irische Datenschutzbeauftragte sicherlich die Einleitung eines Bußgeldverfahrens prüfen. Und schließlich werden wir auch im Europäischen Datenschutzausschuss über den Fall diskutieren.“

Instagram gesteht Datenpanne ein

19. November 2018

Bei der Abfrage der bei Instagram gespeicherten Daten haben Nutzer auch ihr Passwort unverschlüsselt sehen können.

Im Zuge der DSGVO-Umsetzung hat Instagram die „Download your data“-Option eingeführt. So konnten Nutzer eine Übersicht der über sie bei Instagram gespeicherten Daten bekommen. Bei der Abfrage war allerdings auch das Passwort ausgeschrieben in der URL im Browser sichtbar. Dies bedeutet, dass die Passwörter unverschlüsselt auf dem Server gespeichert waren, was die Sicherheitsstandards von Instagram in Frage stellt.

Nach dem Instagram das Problem aufgefallen ist wurde es direkt behoben. Nach eigenen Angaben seien nur wenige Nutzer betroffen. Die Betroffenen wurden informiert und gebeten ihre Passwörter zu ändern.

Ungeklärt bleibt, wie lange dieses „Datenleck“ bereits bestand und warum nur einige Nutzer betroffen sein sollten und nicht alle.

Google speichert unverschlüsselt Kunden-WLAN-Passwörter

23. Juli 2013

Lange muss man nicht zurück denken, da waren Handys eine Revolution und die SMS eine völlig neuartige Kommunikationsmethode. Anfänglich lief dabei jegliche Datenverbindung über den Mobilfunkanbieter. Doch seitdem Smartphones den Schulterschluss zwischen Personal Computer und Mobilfunkgerät herzustellen vermögen, ist ob des nahezu überall verfügbaren Zugriffs auf ein WLAN-Netzwerk vieles der Kommunikation „ausgelagert“. Kaum ein Haushalt, der nicht per WLAN den Zutritt in die digitale Welt zulässt. Dank der fortschreitenden Sensibilisierung für das Thema Datenschutz und die zahlreichen, auch medial diskutierten, Vorkommnisse zum Thema „Betreiberhaftung“ bei offenen WLAN-Netzwerken, ist inzwischen nahezu jedes WLAN per Passwort geschützt. Wie nun jedoch die Onlineausgabe der Süddeutschen berichtet, macht der Online-Gigant Google keinen Halt vor diesen an und für sich geheimen Informationen. Google greift über sein Betriebssystem Android nahezu alle WLAN-Passwörter ab, die auf entsprechenden Geräten gespeichert werden. Und das durch eine schlichte Werkseinstellung, die jedoch den wenigsten Benutzern auffallen würde. In den Einstellungen der Geräte befindet sich unter dem Reiter „Speichern und Zurücksetzen“ ein von Werk aus aktivierter Button mit der Beschreibung „App-Daten, Wlan-Passwörter und andere Einstellungen auf Google-Servern sichern“. Ändert man die Einstellung auf „Off“ bekommt man jedoch auch umgehend mitgeteilt, dass alle Daten auf dem Server damit auch gelöscht werden. Besonders problematisch an der Speicherung ist zudem, dass Google die Passwörter unverschlüsselt speichert.

Kategorien: Allgemein · Mobile Business
Schlagwörter: , ,

Evernote: Hackerangriff auf Passwörter

4. März 2013

Medienberichten zu folge, sei der Clouddinest Evernote einem Hackerangriff zum Opfer gefallen, bei welchem Millionen verschlüsselter Passwörter gestohlen worden seien. Der Clouddinstleister teilt in seinem Blog mit, dass das Netzwerk von Hackern angegriffen worden und dadurch Nutzernamen, E-Mail-Adressen und verschlüsselte Passwörter gestohlen worden seien.

Alle Passwörter seien nun zurückgesetzt worden und der Nutzer werde beim nächsten Login aufgefordert, ein neues Passwort zu wählen. Es handle sich um „einen koordinierten Versuch“, sich „Zugriff auf den gesicherten Bereich des Evernote-Dienstes zu verschaffen“, so Evernote im Blog.

Vor ein paar Wochen war auch Twitter von Hackern angegriffen worden. Um so mehr sollte auf den verantwortungsvollen Umgang mit Passwörtern Wert gelegt werden.

BSI: Deutsche noch zu fahrlässig im Umgang mit Passwörtern

7. Februar 2013

Auch wenn die Tendenz der letzten Jahre eine Sensibilisierung hinsichtlich des Themas Datenschutz in der Gesellschaft erkennen lässt, zeigen sich beim Thema „Passwortsicherheit“ weiterhin erkennbare Mängel. Zu diesem Ergebnis kommt jedenfalls eine Umfrage des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Diese ergab, dass etwa über die Hälfte der Internetnutzer ein einziges Passwort im Internet mehrfach bis ausschließlich verwenden. Dies verwundert angesichts der stetig wachsenden Notwendigkeit, sich auf diversen Portalen einzuloggen, um die entsprechenden Angebote und Dienste wahrnehmen zu können, nicht. Aber es stellt eine nicht zu vernachlässigende Gefahr aufgrund reiner Bequemlichkeit dar. „Viele Menschen sind zu nachlässig bei der Wahl ihrer Passwörter, ob für den heimischen Rechner, den E-Mail-Account oder für das Profil im Sozialen Netzwerk. Damit machen sie es den Kriminellen leicht, an ihre Daten zu kommen und schlimmstenfalls in ihrem Namen Straftaten zu verüben“, sagt Prof. Dr. Wolf Hammann, Vorsitzender der Polizeilichen Kriminalprävention der Länder und des Bundes (ProPK). Insbesondere Passwörter, die sich in Wörterbüchern finden, seien ein leichtes Ziel für Hacker. Diese können anhand einer leicht zu bedienenden Software etliche Wörter von A – Z innerhalb von kurzer Zeit auf die Kompatibilität testen. „In wenigen Augenblicken können sie anhand von speziellen Geräten, die von Aal bis Zwetschge alle Begriffe als Passwort ausprobieren, beispielsweise ein E-Mail-Postfach knacken. Damit sind ihnen oft Tür und Tor für andere Straftaten geöffnet. Deswegen ist es wichtig, für verschiedene Dienste verschiedene Passwörter zu haben, um sich vor Internetkriminalität schützen zu können“, sagt Hammann.

Michael Hange, Präsident des BSI erläutert, wie sicherer Passwortschutz funktioniert: „Ein sicheres Passwort für jeden Online-Dienst gehört zu den zehn Basismaßnahmen, die jeder Internetnutzer in Bezug auf die Sicherheit beherzigen sollte. Die Ergebnisse unserer Umfrage zeigen, dass unsere Aufklärungsarbeit Wirkung zeigt. Über zwei Drittel der Befragten wissen, wie ein starkes Passwort erstellt wird: Es besteht aus Groß- und Kleinbuchstaben, Ziffern sowie Sonderzeichen. Wer sein Passwort alle drei Monate ändert, macht es Internet-Kriminellen bedeutend schwerer.“

Das BSI rät zudem zu folgenden Maßnahmen:

  • Verwenden Sie nie dasselbe Passwort für mehrere Anwendungen und ändern Sie das Passwort regelmäßig.
  • Wählen Sie ein Passwort, das mindestens acht Zeichen lang ist. Es sollte aus Groß- und Kleinbuchstaben in Kombination mit Zahlen und Sonderzeichen bestehen und auf den ersten Blick sinnlos zusammengesetzt sein. (Ausnahme: Bei Verschlüsselungsverfahren wie beispielsweise WPA und WPA2 für WLAN sollte das Passwort mindestens 20 Zeichen lang sein.)
  • Tabu sind Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten usw. Das Passwort sollte nicht in Wörterbüchern vorkommen. Auch Passwörter, die aus gängigen Varianten und Wiederholungs- oder Tastaturmustern bestehen (z. B. „asdfgh“ oder „1234abcd“), sind nicht empfehlenswert. Einfache Ziffern oder Sonderzeichen wie „$“ am Anfang oder Ende eines ansonsten simplen Passwortes bieten keinen ausreichenden Schutz.
  • Bewahren Sie Ihre Passwörter sicher auf.
  • Geben Sie Ihre Passwörter nicht an Dritte weiter.
  • Ändern Sie immer bereits voreingestellte Passwörter.
  • Nutzen Sie einen Bildschirmschoner mit Passwortabfrage nach einer voreingestellten Wartezeit, wenn der PC angeschaltet ist und nicht genutzt wird.

Klage gegen LinkedIn wegen Passwort-Klau

21. Juni 2012

Wie heise.de berichtet, hat eine Nutzerin des Netzwerks LinkedIn in den USA eine Sammelklage gegen den Betreiber eingereicht. Vor zwei Wochen war bekannt geworden, dass LinkedIn über 6,5 Millionen Passwort-Hashes geklaut worden waren. Die Sammelklage im Namen weiterer Mitglieder zielt auf Schadensersatz in Höhe von mehr als fünf Millionen Dollar.

Der Vorwurf lautet, LinkedIn habe mit veralteter Sicherheitstechnik die personenbezogenen Daten der Nutzer gefährdet und die Nutzer nach dem Diebstahl nicht rechtzeitig informiert. Passwörter wurden bei LinkedIn der Klage nach mit dem Hash-Algorithmus SHA1 aus dem Jahr 1995 verschlüsselt, der nicht mehr aktuellen Standards genüge und keine Zufallswerte hinzufüge, die eine Rückführung der Hashes erschweren. LinkedIn habe die Daten der Nutzer erheblichen Risiken ausgesetzt.

Linkedin entgegnete, dass es bei keinem Nutzerprofil zu Risiken oder Störungen gekommen sei. Die Klage sei gegenstandslos und das Werk von Anwälten, die nur die Gelegenheit ausnutzen wollten, so der Bericht weiter.