Getty Images
Beamte in Irland haben gegen Meta eine Geldstrafe von 101 Millionen US-Dollar verhängt, weil das Unternehmen Hunderte Millionen Benutzerpasswörter im Klartext gespeichert und sie den Mitarbeitern des Unternehmens allgemein zugänglich gemacht hat.
Meta gab den Fehler Anfang 2019 bekannt. Das Unternehmen gab an, dass Apps für die Verbindung zu verschiedenen Meta-eigenen sozialen Netzwerken Benutzerpasswörter im Klartext protokolliert und in einer Datenbank gespeichert hätten, die von rund 2.000 Ingenieuren des Unternehmens durchsucht worden sei, die gemeinsam den Vorrat weiter abgefragt hätten als 9 Millionen Mal.
Meta hat fünf Jahre lang ermittelt
Meta-Beamte sagten damals, dass der Fehler bei einer routinemäßigen Sicherheitsüberprüfung der unternehmensinternen Datenspeicherungspraktiken im Netzwerk entdeckt worden sei. Sie führten weiter aus, dass sie keine Beweise dafür gefunden hätten, dass jemand intern unbefugt auf die Passcodes zugegriffen habe oder dass die Passcodes jemals für Personen außerhalb des Unternehmens zugänglich gewesen seien.
Trotz dieser Zusicherungen deckte die Offenlegung ein schwerwiegendes Sicherheitsversagen seitens Meta auf. Seit mehr als drei Jahrzehnten besteht die bewährte Vorgehensweise in nahezu allen Branchen darin, Passwörter kryptografisch zu hashen. Hashing ist ein Begriff, der sich auf die Praxis bezieht, Passwörter durch einen kryptografischen Einwegalgorithmus zu übertragen, der jeder einzelnen Klartexteingabe eine lange Zeichenfolge zuweist, die eindeutig ist.
Da die Konvertierung nur in eine Richtung funktioniert – vom Klartext zum Hash – gibt es keine kryptografische Möglichkeit, die Hashes wieder in Klartext umzuwandeln. In jüngerer Zeit wurden diese Best Practices in Ländern weltweit durch Gesetze und Vorschriften vorgeschrieben.
Da Hashing-Algorithmen in eine Richtung arbeiten, besteht die einzige Möglichkeit, den entsprechenden Klartext zu erhalten, darin, zu raten, ein Prozess, der viel Zeit und Rechenressourcen erfordern kann. Die Idee hinter dem Hashing von Passwörtern ähnelt der Idee einer Feuerversicherung für ein Haus. Im Notfall – in einem Fall beim Hacken einer Passwortdatenbank oder im anderen Fall bei einem Hausbrand – schützt der Schutz den Beteiligten vor Schaden, der andernfalls schwerwiegender gewesen wäre.
Damit Hashing-Schemata wie vorgesehen funktionieren, müssen sie eine Vielzahl von Anforderungen erfüllen. Zum einen müssen Hashing-Algorithmen so konzipiert sein, dass sie große Mengen an Rechenressourcen erfordern. Das macht Algorithmen wie SHA1 und MD5 ungeeignet, da sie darauf ausgelegt sind, Nachrichten schnell und mit minimalem Rechenaufwand zu hashen. Im Gegensatz dazu sind Algorithmen, die speziell für das Hashing von Passwörtern entwickelt wurden – wie Bcrypt, PBKDF2 oder SHA512crypt – langsam und verbrauchen viel Speicher und Verarbeitung.
Eine weitere Anforderung besteht darin, dass die Algorithmen kryptografisches „Salting“ beinhalten müssen, bei dem dem Klartext-Passwort vor dem Hashing eine kleine Menge zusätzlicher Zeichen hinzugefügt werden. Das Salzen erhöht den Arbeitsaufwand für das Knacken des Hashs zusätzlich. Beim Knacken wird eine große Anzahl von Vermutungen, oft in der Größenordnung von Hunderten von Millionen, durch den Algorithmus geleitet und jeder Hash mit dem Hash verglichen, der in der gehackten Datenbank gefunden wurde.
Das ultimative Ziel des Hashings besteht darin, Passwörter nur im Hash-Format und niemals im Klartext zu speichern. Dadurch wird verhindert, dass Hacker und böswillige Insider die Daten ohne großen Ressourcenaufwand nutzen können.
Als Meta das Versäumnis im Jahr 2019 offenlegte, war klar, dass das Unternehmen es versäumt hatte, Hunderte Millionen Passwörter angemessen zu schützen.
„Es ist allgemein anerkannt, dass Benutzerpasswörter nicht im Klartext gespeichert werden sollten, angesichts der Missbrauchsrisiken, die durch Personen entstehen, die auf solche Daten zugreifen“, Graham Doyle, stellvertretender Kommissar der irischen Datenschutzkommission, sagte. „Es muss berücksichtigt werden, dass die Passwörter, um die es hier geht, besonders sensibel sind, da sie den Zugriff auf die Social-Media-Konten der Nutzer ermöglichen würden.“
Die Kommission untersucht den Vorfall, seit Meta ihn vor mehr als fünf Jahren offengelegt hat. Die Regierungsbehörde, die führende Regulierungsbehörde der Europäischen Union für die meisten US-amerikanischen Internetdienste, verhängte diese Woche eine Geldstrafe in Höhe von 101 Millionen US-Dollar (91 Millionen Euro). Bisher hat die EU gegen Meta eine Geldstrafe von mehr als 2,23 Milliarden US-Dollar (2 Milliarden Euro) wegen Verstößen gegen die 2018 in Kraft getretene Datenschutz-Grundverordnung (DSGVO) verhängt. In diesem Betrag ist die Rekordstrafe von 1,34 Milliarden US-Dollar (1,2 Milliarden Euro) des letzten Jahres enthalten , was Meta ansprechend findet.
