Facebook speichert auch Instagram-Passwörter ungeschützt

Instagram-Nutzer teilen Fotos, Videos oder „Stories“ und kommentieren die geteilten Inhalte anderer User. Der Großteil der Inhalte ist nicht kommerziell, es gibt allerdings auch Firmen-Accounts und Influencer, die ihre Popularität für die Vermarktung von Produkten bereitstellen und sich dafür bezahlen lassen. Vor allem ist Instagram aber extrem dynamisch, was man von der Mutter aller Social-Media-Plattformen, Facebook nicht mehr behaupten kann.

Während Facebooks Nutzerzahlen zumindest im Westen stagnieren, legt Instagram jährlich im großen Stil zu. Momentan sollen schon über eine Billionen Menschen die App auf dem Smartphone oder dem Computer nutzen. Ein Drittel der Nutzer ist zudem zwischen 25 und 34 Jahren alt. Instagramer sind jung, aktiv und leider oft das Opfer von Scammern und Hackern.

Facebook speicherte Passwörter im Klartext

Dazu benötigt es jedoch nicht immer ausgefeilte Hackermethoden, denn Facebook – die Mutterfirma von Instagram und WhatsApp – sorgt nicht selten selbst für die Datenpannen. So musste das Unternehmen jetzt erklären, dass sie Millionen von Instagram-Passwörtern im Klartext gespeichert hat. Eine Woche zuvor, wurde die selbe Erklärung schon mal für Facebook abgegeben – hier betraf es gleich 600 Millionen User-Passwörter.

Facebook bekräftigt zwar, dass es keinen Missbrauch der Passwörter gab. Aber wie realistisch sind solche Aussagen, wenn die Entwickler dort im Wochentakt über Listen und Datenbanken mit Millionen unverschlüsselter Passwörter stolpern? Zumindest jener Mitarbeiter hatte doch Zugriff und damit wohl viele tausend andere auch.

Instagram basiert technisch auf dem Framework Django und der Programmiersprache Python. Die Grundversion von Facebook hat Mark Zuckerberg in PHP geschrieben. Beide Technologien werden millionenfach vom privaten Blog bis zu millionenschweren Online-Shops eingesetzt und haben ganz klare Vorgaben, wie Passwörter sicher zu verschlüsseln sind.

Es fällt schwer sich vorzustellen, dass Django oder PHP urplötzlich anfangen, Millionen von Passwörtern im Klartext in die Datenbank zu schreiben. Eine mögliche Erklärung für diese Datenpannen wäre, dass die Passwörter im Klartext von den Entwicklern kopiert wurden. Aber warum?

Ein „Versehen“ jagt das andere …

Diese Frage ist vielleicht müßig, wenn man sich die jüngste Geschichte Facebooks ansieht. Denn leider ist die logischste Erklärung: Sie wissen es selbst nicht. Ebenfalls letzte Woche kam zu Tage, dass Facebook 1,5 Millionen Adressbücher seiner Nutzer ohne Erlaubnis gespeichert hat. Die offizielle Erklärung: Es war ein Versehen.

Es ist möglich, dass Facebook und Mark Zuckerberg zukünftig mit solch einfachen Erklärungen nicht mehr durchkommen. Die amerikanische FTC (Federal Trade Commission) untersucht gerade, ob sich Zuckerberg strafbar gemacht hat. Es wird geprüft, ob frühere Aussagen bezüglich der Datensicherheit richtig waren und ob Facebook eine Vereinbarung mit der US-Regierung verletzt hat.

Die FTC hat hier vor allem den Datenskandal vom letzten Jahr im Blick. Damals wurde bekannt, dass die politische Analyse-Firma „Cambridge Analytica“ die Daten von rund 87 Millionen Facebook-Nutzern ohne deren Einverständnis genutzt  und im US-Wahlkampf verwendet hat.

Ändern Sie Ihr Passwort am besten sofort

Eines ist sicher: Wenn Passwörter ungeschützt gespeichert werden, dann hilft auch die beste Zwei-Faktor-Authentifizierung nichts. Zumal gerade Facebook aufgrund seinem Echtnamen-Zwang ein lohnendes Ziel für Datenhacker ist.

Facebook möchte die User, deren Passwörter und Adressbücher betroffen waren, persönlich informieren – es empfiehlt sich allerdings, die Passwörter so oder so zu ändern. Beachten Sie dazu am besten folgendes:

  • Verwenden Sie für jedes Ihrer Nutzerkonten ein individuelles Passwort. Wird eine Website gehackt, testen die Täter nämlich zuerst, ob die Kombination aus Nutzername bzw. E-Mail-Adresse und Passwort auch auf anderen (großen) Plattformen funktioniert.
  • Ihr Passwort sollte mindestens zwölf Zeichen haben. Es sollte aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen.
  • Verwenden Sie Passwörter, die nicht im Wörterbuch stehen. Hacker verfügen heutzutage über Programme, die sich mittels Wörterbuchsuche Zugang zu Ihren Konten verschaffen können.
  • Vermeiden Sie Zeichenfolgen wie 12345, abcde, qwertzuiop usw.
  • Verwenden Sie Passwörter ohne persönlichen Bezug. Beispielsweise sind der Name des Hundes, Geburtstage von Familienmitgliedern oder der Lieblingssport keine gute Idee.
  • Schreiben Sie sich Passwörter nicht auf und teilen Sie sie niemals jemand anderem mit.

Falls es Ihnen schwer fällt, ein gutes, starkes und ausreichend komplexes Passwort zu erstellen, dann greifen Sie am besten auf einen Passwort-Manager zurück, der Ihnen dabei helfen kann.