Meta wegen Speicherung von Passwörtern im Klartext mit 102 Mio. US-Dollar bestraft

 (engadget.com)
19 Punkte von GN⁺ 2024-09-30 | 7 Kommentare | Auf WhatsApp teilen
  • Die irische Datenschutzkommission (DPC) hat nach Abschluss ihrer Untersuchung des Sicherheitsvorfalls von 2019 gegen Meta eine Geldbuße in Höhe von 101,5 Mio. US-Dollar (91 Mio. Euro) verhängt
  • Meta hatte ursprünglich im Januar 2019 bekannt gegeben, dass einige Nutzerpasswörter im Klartext auf den eigenen Servern gespeichert worden waren
  • Einen Monat später ergänzte das Unternehmen, dass auch Millionen von Instagram-Passwörtern in einem leicht lesbaren Format gespeichert worden waren
  • Meta machte keine Angaben dazu, wie viele Konten betroffen waren, jedoch erwähnte damals ein ranghoher Mitarbeiter gegenüber Krebs on Security, dass bis zu 600 Millionen Passwörter betroffen gewesen sein könnten
  • Einige Passwörter waren seit 2012 im Klartext auf Unternehmensservern gespeichert und konnten von mehr als 20.000 Facebook-Mitarbeitern durchsucht werden
  • Die DPC bestätigte, dass die Passwörter keinen externen Parteien zugänglich gemacht wurden
  • Die DPC kam zu dem Schluss, dass Meta gegen mehrere GDPR-Regeln verstoßen hat
    • das mit der Speicherung von Nutzerpasswörtern im Klartext verbundene Datenschutzleck nicht unverzüglich der DPC gemeldet
    • das mit der Speicherung von Nutzerpasswörtern im Klartext verbundene Datenschutzleck nicht dokumentiert
    • keine angemessenen technischen Maßnahmen eingesetzt, um die Sicherheit gegen unbefugte Verarbeitung von Nutzerpasswörtern zu gewährleisten
  • Der stellvertretende DPC-Kommissar Graham Doyle erklärte: "Nutzerpasswörter sollten nicht im Klartext gespeichert werden; dabei ist besonders zu berücksichtigen, dass es sich um sensible Informationen handelt, die den Zugang zu Social-Media-Konten ermöglichen"
  • Zusätzlich zur Geldbuße sprach die DPC eine Verwarnung gegen Meta aus; welche Auswirkungen dies auf Meta haben wird, dürfte klarer werden, wenn die Kommission ihre endgültige Entscheidung veröffentlicht

Meinung von GN⁺

  • Dieser Vorfall dürfte ein Weckruf für die Datenschutzpraktiken großer Technologiekonzerne sein. Er erinnert erneut daran, wie wichtig der sichere Umgang mit Nutzerdaten ist
  • Meta sollte diesen Fall zum Anlass nehmen, seine Sicherheitssysteme umfassend zu überprüfen und zu verbessern. Neben technischen Maßnahmen wie Verschlüsselung scheinen auch organisatorische Anstrengungen wie Mitarbeiterschulungen und interne Audits notwendig
  • Die Höhe der Bußgelder für GDPR-Verstöße steigt zunehmend. Unternehmen sollten erkennen, dass die strikte Einhaltung der GDPR und anderer Datenschutzgesetze auch aus Sicht des Risikomanagements wichtig ist
  • Zugleich wurden in diesem Fall keine Hinweise darauf bestätigt, dass die offengelegte Sicherheitslücke tatsächlich ausgenutzt wurde. Dass Meta dennoch eine hohe Geldbuße zahlen muss, dürfte daran liegen, dass die Schwere des Problems und das Ausmaß der Regelverstöße als erheblich eingestuft wurden
  • Beim Passwortmanagement sind neben der Speicherung im Klartext auch verschiedene weitere Sicherheitsmaßnahmen erforderlich, etwa der Einsatz von Salt/Hash und die Durchsetzung starker Passwortrichtlinien. Unternehmen sollten unternehmensweit systematische Richtlinien für das Passwortmanagement ausarbeiten und strikt anwenden

Verwandte Beiträge

7 Kommentare

 
princox 2024-09-30

Wow … das ist schon etwas schockierend.
 
savvykang 2024-09-30

Facebook hat mal wieder Facebook gemacht.
 
wedding 2024-09-30

Bei einem FAANG-Unternehmen im Klartext? Was für eine unglaublich Nachricht..
 
GN⁺ 2024-09-30
Hacker News-Kommentare

  • Meta wollte Passwörter offenbar nicht im Klartext speichern, aber durch einen Bug wurden Klartext-Passwörter in Logs aufgezeichnet

    • Seit 2012 wurden 600 Millionen Passwörter in leicht lesbarer Form gespeichert, und mehr als 20.000 Facebook-Mitarbeiter konnten darauf zugreifen
    • Das ist nicht bloß ein Versehen, sondern ein schwerwiegendes Problem

  • Aktuell beträgt die Geldbuße 0,1 % des Umsatzes

    • Ein Unternehmen mit 1 Milliarde US-Dollar Jahresumsatz müsste 100.000 US-Dollar Strafe zahlen
    • Das schafft keinen Anreiz, ordentliche Sicherheit aufrechtzuerhalten
    • Wenn sich durch Logging das Debugging verbessert und die Effizienz um mehr als 0,1 % steigt, ist das für das Unternehmen ein guter Deal

  • Fragen zu Hashing und Rainbow-Table-Angriffen in Meta-Interviews könnten eine Art Hilferuf sein

  • 102 Millionen US-Dollar Strafe klingen nach viel Geld, aber pro offengelegtem Klartext-Passwort liegt die Strafe unter 1 Dollar

    • Die Geldbuße wurde dafür verhängt, dass die Behörden nicht rechtzeitig informiert wurden
    • Die Bewertung der betroffenen Nutzer ist bemerkenswert

  • Der Datenvorfall von 2019 trat in einem 2012 gebauten System auf

    • Die DSGVO wurde 2018 eingeführt, und Meta wurde bestraft, weil das Unternehmen den Datenvorfall von 2019 nicht ordnungsgemäß offengelegt hatte

  • Es ist schwer zu verstehen, wie ein großes Unternehmen einen solchen Fehler machen kann

    • Passwort-Hashing und Salting sind grundlegende Sicherheitsverfahren
    • Dass ein Großkonzern wie Meta/Facebook so einen Fehler macht, ist kaum vorstellbar

  • Hoffentlich hat das System des Authentifizierungsteams keine Payloads mit Passwörtern in Logs geschrieben

    • Möglich ist, dass dies in einer Infrastrukturkomponente passiert ist, die einem anderen Team gehörte

  • Doppelte Diskussion: Link
 
darkhi 2024-10-01

Offenbar wurden die Passwörter beim Speichern auf dem Server nicht absichtlich im Klartext abgelegt, sondern es gab Fälle, in denen die eingegebenen Klartext-Passwörter während der Protokollierung in Logs gespeichert wurden.
Das kommt im In- und Ausland erstaunlich oft vor ... (wenn Passwörter in Logdateien gespeichert werden ...)
 
2024-09-30
[Dieser Kommentar wurde ausgeblendet.]