Facebook informiert Nutzer über Datenpanne: Passwörter waren im Klartext abgespeichert
Wow, Facebook. Immer wenn man denkt, es kann nicht mehr schlimmer werden, kommt noch etwas hinzu. Das Unternehmen informierte, dass man im Rahmen einer Sicherheitsroutine unverschlüsselte Passwörter von Nutzern auf den internen Speichersystemen gefunden habe. Passwörter in einem lesbaren Format – muss man sich mal vorstellen. Man habe den Fehler mittlerweile behoben und die Nutzer werden informiert. Laut Facebook handelte es sich allerdings um Systeme, die nicht von außen sichtbar waren, sondern nur innerhalb von Facebook. Man wird unfassbar viele Nutzer von Facebook, Facebook Lite und Instagram benachrichtigen müssen, wie man mitteilt:
We estimate that we will notify hundreds of millions of Facebook Lite users, tens of millions of other Facebook users, and tens of thousands of Instagram users. Facebook Lite is a version of Facebook predominantly used by people in regions with lower connectivity.
Durch die Aussage, dass man nur intern auf die Datenbanken zugreifen konnten, steht auch Aussage Nummer 2: Man habe keine Informationen auf Zugriff durch Dritte gehabt.
CIA book kann man niemals Vertrauen oder sich drauf verlassen, die armen Schweine und ihre komplexe, die dort aus welchen Grund auch immer ein Account haben, und ihn einfach nicht löschen wollen 😉
Ist doch total egal ob nun intern oder extern. Die Passwörter wurden unverschlüsselt vom Client zum Server übertragen und allein das schon ist echt übel. Zumal, warum sollte sich ein Facebook Mitarbeiter nicht die Daten gespeichert haben, um sie gegebenenfalls zu verkaufen.
So ein Quatsch! Die Passwörter wurden von Server-Anwendungen in interne Logs geschrieben. Das ist kacke, aber hat mit deiner Aussage gar nichts zu tun.
Ich empfehle den Blog von Brian Krebs mit ein paar Details dazu: https://krebsonsecurity.com/2019/03/facebook-stored-hundreds-of-millions-of-user-passwords-in-plain-text-for-years/
Daraus kann man nicht schließen, ob die Übertragung verschlüsselt erfolgt ist. Man kann lediglich daraus schließen, dass es Server-Anwendungen gab, die das Passwort im Klartext verarbeitet haben.
Und bevor jetzt der nächste schreit: Dass Passwörter im Klartext verarbeitet werden ist vollkommen normal! Und nein, Hashing ist keine Verschlüsselung und dafür muss dennoch das Passwort im Klartext verarbeitet werden.
Das Hashen kann der Client machen. Der Server braucht das Passwort nicht.
Ich habe es noch so gelernt, dass „Client-Hashing“ ein riesen Irrtum und Security-Albtraum ist. Damit wird nämlich der Hash-Wert zum Zugangsschlüssel und man fällt zurück auf das Security-Niveau von Klartext Passwörtern in der Datenbank.
Falls es da mittlerweile sichere Verfahren gibt, würde ich mich über einen Hinweis freuen 😉
Dem Datenschutz würde ein Client-Hashing natürlich genügen, weil der Name deiner Katze nicht mehr auf dem Server ankommt 😛
Achja: Auch Clients senden Logs an den Server…
Richtig ist, der Client sollte das Passwort nicht hashen, jedenfalls nicht alleine, aber Client-Hashing an sich ist noch kein Irrtum. Vielleicht hast du auch gelernt, warum das ein Problem sein soll?
Die Frage ist, warum man das Passwort hasht, bzw., warum eigentlich ein Passwort? Man möchte wissen, dass derjenige, der da eine Seite anfragt, derjenige ist, der er vorgibt zu sein. Dazu hat man sich ein Geheimnis überlegt, welches möglichst nur Server und Nutzer (und damit Client) kennen, das Passwort. Technisch könnte man nun „einfach“ das Passwort übertragen, der Server macht einen einfachen String-Vergleich, ist beides gleich, weiß der Server, der Client kennt das Passwort, alles OK. Das wäre auch alles fein, wenn man dem Speicher auf dem Server vertrauen würde. Aber: üblicher Weise gibt es Menschen, die Zugriff auf die Datenbank haben, ganz besonders schlimm, wenn das externe sind. Um die Passwörter also zu schützen, hat man sich das Hashen überlegt: Man speichert nicht das Passwort, sondern einen Hash (am besten mit Salt). Der Client sendet immer noch das Passwort, man vergleicht aber keine Strings, man berechnet nun wieder den Hash (am besten mit Salt) und vergleicht das Ergebnis. Ist beides gleich, alles OK.
Wie man schon feststellt: Übertragen wird immer noch das Passwort, aber auf Server-Seite hat niemand mehr Kenntnis davon, insbesondere ist das Passwort nicht gespeichert. Selbst ein Mitarbeiter kann nur den Hash lesen, und den kann man nicht zurück auf das Passwort rechnen, in Wirklichkeit gibt es gar keine Abbildung, die das ermöglicht, man kann es nur wild ausprobieren, oder den Hash in einer Datenbank finden. Das ist der Grund, warum Hash gut ist, besser ist ein Hash mit Salt.
Das man natürlich das Passwort nicht einfach unverschlüsselt über http übertragen kann, steht auf einem anderen Blatt, denn dann könnte man das Passwort mitlesen. Dafür gibt es ja https.
Würde nun der Client den Hash bilden, hätte man eine Sache gewonnen: es wird kein Passwort übertragen, der Server kennt das Passwort gar nicht mehr. es hilft aber nicht gegen Abhören der Leitung, denn man bräuchte das Passwort ja gar nicht, man könnte sich mit dem Hash einfach anmelden. Daher ist das Hashen auf Client-Seite unnötig, man gewinnt dadurch einfach nichts, man müsste es auf Server-Seite noch einmal hashen, damit ein Abgreifen der Hashes auf Server-Seite nicht dazu führt, dass man sich einloggen kann.
Es gibt allerdings Anwendungsfälle, in denen man über eine unverschlüsselte Verbindung klären muss, ob man mit dem Richtigen kommuniziert, dafür gibt es sogenannte Challenge-Response-Verfahren, bei denen aber das Passwort nie übertragen wird, das ist aber ein anderes Thema.
Kann der Client machen, bringt aber nichts, siehe meine Antwort auf m0rphU.
Der Blog sagt dazu folgendes: In den Logs standen, dass 2000 Mitarbeiter von Facebook 9 Mio. Abfragen auf die Daten (mit Klartext Passwörtern) gemacht haben. Daraus schliesse ich, dass die Passwörter im Klartext in einer Datenbank gespeichert wurden. Das haben wir vor 20 Jahren schon besser gemacht. Verschlüsselt speichern wäre auch Mist, ein Hash lässt sich nämlich nicht zurück rechnen.
Das Blog schreibt aber auch, dass die Daten durch Logging in diesen Datenbanken gelandet wären.
Es wird sich also vermutlich nicht um User-Datenbanken, sondern eher um Monitoring-, Bugtracking-, Debugging-, Ticket-Systeme und ähnliches handeln.
Das ist jetzt natürlich nur eine Mutmaßung, weil Facebook selbst nur recht wenig bekannt gegeben hat. Aber ich halte es für sehr unwahrscheinlich, dass Facebook SO fundamental verkackt hat, dass sie auf Hashing in den User-Datenbanken verzichten würden 😉 Dass sie beim Logging übereifrig waren, halte ich da für deutlich wahrscheinlicher.
Edit: Ups. Ich hätte die Pressemitteilung von Facebook mal zu Ende lesen sollen. Dort wird erklärt, dass sie mit „scrypt“ hashen. Das ist State-of-the-Art 🙂
Sie erklären aber auch, dass sie den Login-Prozess stark überwachen. Notwendig und sinnvoll, aber noch mehr potentielle Log-Quellen :/
So dumm kann doch keiner sein. Das war bestimmt Absicht.
Du meinst: so dumm, immer noch Facebook zu benutzen? In der Tat.
So dumm waren vorher schon Twitter und Github und ganz bestimmt noch ganz viele andere… Software ist heute viel zu komplex und muss ständig überprüft und gedebuggt werden, sodass eben auch viel Unerwünschtes in Logs landet -.-
Das ist aber natürlich keine Entschuldigung für Facebook, sondern eine Beschreibung des aktuellen Zustands unserer Software Industrie.
„gedebuggt“ – Aua.
Da hast Du recht. Traurig ist aber, daß solche Fehler deutlich seltener geschehen, wenn diese einen direkten Schaden für die Firma bedeuten könnten. D.h. für mich, sie kontrollieren das dann besser. So ist ja nur der Kunde betroffen.
Faceboo (Face-Buuuhh) dient nur dazu, private Details den Usern zu klauen!
Nach dem 11.September 2001 hat das amerikanische Pentagon Überlegungen für ein „Lifelog-Project“ gestartet!
In diesem Lifelog sollte über Menschen alles zufinden sein, was er macht, wo er Urlaub macht, was er gerne liest, ect.pp….. Kurzum: Man wollte alles über Alle wissen.
Ende 2003 hat man dieses Projekt – obwohl schon ziemlich weit fortgeschritten – wieder verworfen und dieses Projekt nicht weiterverfolgt. Die Mitarbeiter waren im Januar 2004 stark verwundert, warum es auf einmal fallen gelassen wurde!?!
All dies könnt Ihr heute noch bei wired nachlesen – hier ist der Link dazu: https://www.wired.com/2004/02/pentagon-kills-lifelog-project/
Dieser Artikel endet mit der Meinung eines Mitarbeiters, der da sagt, „dass er sich ziemlich sicher ist, das dieses Projekt unter einem anderem Namen fortgeführt wird“!
Datum der Publikation von wired: 4. Februar 2004
Datum der Gründung von Facebook Inc.: 4. Februar 2004
Siehe auch: https://de.wikipedia.org/wiki/Facebook
Ein (schlauer) Schelm, wer böses dabei denkt!
Dein Aluhut glüht.
Danke, das war ein netter Lacher…….. Aber im Ernst, die spinnen bei Facebook und das dies erst im Jahre des Herrn 2019 auffällt Facepalm….
Seit vielen Jahren wurden Menschen, die Facebook skeptisch gegenüber standen, als „Aluhut-Träger“ diffamiert. Spätestens seit 2 Jahren ist öffentlich bekannt, dass die Facebook-Realität tatsächlich noch schlimmer ist. Wer heute so was immer noch reflexartig mit „Aluhut“ kommentiert, hat nicht nur die letzten 2 Jahre unter einem Stein gelebt, sondern den Schuss nicht gehört.
Du glaubst also dieses 9/11 Ding da?
Es kommt noch schlimmer:
Selbst 9/11 war nur eine Inszenierung:
https://youtu.be/PbHvCBTmbjQ
Ja, ja, hier werden heute morgen auch wieder jede Menge Chemtrails ausgebracht um die Bevölkerung zu vergiften und der Staatsschutz hat mich heute auch schon ordentlich mit Skalarwellen beschossen.
Und auf dem Mond war natürlich auch noch keiner – alles im Studio aufgenommen.
Hier mal noch eine Kanal-Empfehlung für dich https://www.youtube.com/user/angeblicherterrorist/featured
😀 😀
Auch eine Art Whataboutism. Nur weil das eine Verschwörungstheorie ist, muß es das andere auch nicht sein. Und bei FB würde ich nicht so vehement es verneinen
Nicht unbedingt. Aber nach den Facebook-Skandalen und Snowden-Enthüllungen der letzten Jahre wundert mich gar nix mehr. Und das wurde vorher alles als Aluhut-Verschwörungstheorien abgetan. Heute sind wir schlauer und sollten mit den reflexhaften „Aluhut“-Sprüchen etwas vorsichtiger sein.
Der Aluhut glüht, wenn man behauptet, Facebook wäre ein Geheimdienstprojekt in Folge von 9/11.
Es ist Pfusch, ausserdem ist klar, dass Geheimdienste und Ermittlungsbehörden Zugriff haben.
Der wievielte Megaskandal ist das eigentlich. Unfassbar was das für ein Sauhaufen ist. Und der Fisch stinkt wie meistens vom Kopf: Zuckerboy & Sandberg. Die interessiert nur Kohle und sonst nix.
Aber Facebook ein Geheimdienstprojekt? Wahrscheinlich von Hillary von einer Pizzeria in Washington aus gesteuert, oder? Was für ein Schwachsinn.
Das sind einfach totale Dilletanten, mega arrogant und vor allem interessiert die alles einen Scheiss was mit Usern oder Datenschutz zu tun hat.
Ich bin gespannt wie lange die noch weiter so rummachen können. Irgendwann wird Facebook zerschlagen und das wäre auch gut so.
You made my day
Das Verhalten hier, bei Kommentaren und den Antworten darauf hat schon was von Social Media. Diese habe ich vor über einem Jahr verlassen, danke an Jaron Lanier…… Er hat(te) sowas von recht……
Wer? Womit?
Steht doch da…. J.L.
Jetzt weiß ich auch endlich wie es möglich war, das mein Instagram Account ohne Probleme gekapert werden konnte.
Man halte sich vor Augen: Passwort geändert, Account deaktiviert und drei Tage später erhalte ich eine E-Mail, das Passwort, Email und Handynummer verändert wurde. Als Link dazu, die Änderungen rückgängig machen. Hat natürlich nicht funktioniert… Ich sage nur, wer noch so doof ist einen Account in dem Unternehmen Facebook zu haben, ist selbst schuld ! The shit hits the fan.