Miljoenen Facebook en Instagram wachtwoorden gelekt

, , Leave a comment

 

Naar verluid heeft Facebook jarenlang wachtwoorden van honderden miljoenen Facebook- en Instagram wachtwoorden onbeveiligd opgeslagen van haar gebruikers. Daarbij zouden ook twintigduizend Facebook-medewerkers toegang hebben gehad tot de database, meldt beveiligingsonderzoeker Brian Krebs donderdag.

 

Het gaat volgens Krebs om 200 tot 600 miljoen wachtwoorden van gebruikers, die vanaf 2012 onbeschermd werden.

Er is bevestigd door Facebook dat het naar verwachting gaat om honderden miljoenen gebruikers. Het zou gaan om het merendeel van de Facebook Lite app die alleen beschikbaar is in Nederland voor Android.

Afgelopen donderdag was een woordvoerder van Facebook in gesprek met NU.nl en kon de cijfers van Krebs niet bevestigen. NU.nl heeft Facebook gevraagd om informatie over mogelijk Nederlandse slachtoffers, maar heeft daar geen antwoord op gekregen.

 

Databases waren al extra kwetsbaar

Wachtwoorden worden vaak veranderd in door een willekeurige reeks tekens, een zogenaamde ‘hash’. Wanneer een gebruiker probeert in te loggen bij een dienst, wordt het ingevoerde wachtwoord vervangen voor een hash. Wanneer de tekenreeks overeen komt met de hash die opgeslagen is in de database, kan de gebruiker inloggen.

Krebs zegt dat Facebook bepaalde toepassingen heeft verzuimd om de wachtwoorden te hashen. Hierdoor werden de toegangstekens gewoon als platte tekst opgeslagen van Facebook-gebruikers. Door dit worden de databases extra kwetsbaar voor een datalek, omdat een hacker meteen de wachtwoorden heeft voor de accounts van gebruikers.

De vraag over welke toepassingen het gaat heeft de Facebook woordvoerder niet direct antwoord op gegeven. Het is ook onduidelijk als alle wachtwoorden dezelfde plek waren opgeslagen of verspreid.

‘Geen bewijs’ van misbruik database

Voor nu is het nog onduidelijk of een Facebook-medewerker misbruik heeft gemaakt van zijn toegang tot de wachtwoorden of er een derde partij aan te pas kwam. Facebook meld dat er nog ‘geen bewijs’ is gevonden. Het bedrijf meldt als advies aan alle gebruikers om hun wachtwoorden te veranderen.