Facebook hatte Master-Passwort für alle Nutzer

Social Media Facebook ist mit über 350 Millionen aktiven Nutzern das weltweit größte soziale Netzwerk. Eine derartig große Datensammlung wirft natürlich immer diverse Sicherheitsfragen auf. Offenbar ging man bei Facebook mit dem Thema Sicherheit anfangs etwas zu ... mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
dieser fall zeit einfach nur das es für jede anwendung irgendwo einen admin gibt der alles kann. für jemanden der ein ganz bisschen IT wissen hat sollte das eine selbstverständlichkeit sein.
 
@Matico: ja recht hast du... eigentlich nichts neues... und oho die daten stehen in einer datenbank und man kann die mit gewissen abfragen rausfiltern... tja so funktionieren nunmal 97% aller seiten im web :P
 
@Matico: genau. it der it gibt es immer ein admin der komplette rechte auf alles besitzt. web.de und Co sollte man auch vertrauen. wichtige emails gehören sowieso verschlüsselt. aber ansonsten, jeder web.de mitarbeiter kann die emails vom kunden lesen.
 
@Matico: Ich geb dir völlig recht - Wenn ich physischen Zugang auf ein beliebiges SAP System bekomme, und das Datenbankpasswort hab - Dann kann ich auf jeden beliebigen Datensatz in dem Produktivsystem kommen.
 
OH MEIN GOTT! Die Entwickler können per Abfragen Daten aus der Datenbank bekommen. Unglaublich! Winfuture, ab und ist eurer Niveau echt daneben.
 
@Crod: Was für ne Überraschung, Winfuture geht es nicht um's informieren, sondern darum möglichst viel Geld zu verdienen indem sie möglichst viele Artikel rausbringen, die sie mit möglichst vielen BILD-Überschriften versehen und möglichst viele User dazu zu bringen möglichst oft die Artikel anzuklicken und dabei hoffen, dass möglichst wenig User Popup-Blocker haben...^^
 
@Crod: Lies die News richtig denke darüber nach und Poste dann XP SP4 für dich gilt das gleiche. Das denken ist dabei sehr wichtig... Für Facebook gab es ein Masterpasswort für das Front end und so was ist egal wie sicher das Passwort ist eine große sicherheitlücke... Mit abfragen hatte das gar nix zu tun. Echt schlim was das viele User hier nur noch drauf los flamen aber keine Ahnung haben worüber sie reden.
 
@-Revolution-: Und du lies meinen Post richtig. Ist wohl eindeutig, dass es mir um die Datenbankzugriffe per Abfragen durch Entwickler und Administratoren ging. Und das diese Leute nun mal an alle Daten kommen, ist ja wohl klar.
 
@Crod: Also einen Login über das Frontend als Abfrage zu bezeichen hallte ich dann aber sehr gewagt... das sie an alle Daten kommen ist klar aber doch um Gotteswillen nicht über ein Masterpasswort sondern über die Datenbank.
 
@-Revolution-: Okay, lies den Newstext nochmal. Mir geht es nicht um das Passwort.
 
@-Revolution-: ob du nun das frontend benutzt oder die textbasierte version von phpmyadmin oder ein selbstgeschriebenes admin-interface. es spielt keine rolle - ein admin kann und darf alles - ansonsten wäre er kein admin.
 
@Iceweasel: Arg sagt mal bin ich der einzig der hier was von sicherheit versteht? Das ist sehr wohl was anderes! Mit einem Masterpasswort für das Frontend kannst du jedes User Profil übernehmen so etwas darf in einem sicheren System nicht existieren. Das Frontend ist Angriff ausgesetzt kommt das Masterpasswort einmal raus hat ein Hacker auf sämtliche Profile zugriff. Sachen wie PHPmyAdmin und Co sind backend Systeme die seperat gesichert sind möglichst ohne Online zugriff.
 
@-Revolution-: Du hast immer noch nicht verstanden, dass es nicht um das Masterpasswort geht, dass ganz nebenbei nicht mal existiert.
 
phpmyadmin ist kein backend system - es ist ein frontend zum mysql backend. so viel dazu. das masterpasswort besitzt in der regel mehr als 32 zeichen, für jeden unknackbar. deswegen ist es auch noch nie aufgeflogen.
 
@Crod: Naja. Man hätte ja spaltenweise Berechtigungen setzen können, um so den Zugriff vor sensiblen Daten auch vor Entwicklern weitgehend zu verstecken. Sollte er sie brauchen, hätte er sich so eine berechtigte Genehmigung holen müssen, und so zumindest den Missbrauch gelangweilter Mitarbeiter kurz vor dem Ausscheiden entgegenzuwirken.
 
@zwutz: Z.B. Ich kenn es bisher aber so, da ich selbst Entwickler bin, dass man an einer Entwicklungsdatenbank mit Testdaten arbeitet und die Produktivdatenbank gar nicht zu Gesicht bekommt. Das irgendein Admin natürlich auch Zugriff auf das produktive System hat ist klar.
 
Ich glaube man hat hier die Wörter verdreht zwischen Admin (Programmierer) und Admin (Support-Level). Das geht aus dem Text leider nicht hervor. Ein Admin der Programmiert sollte idR wirklich keine Produktivdaten zu gesicht bekommen. Ich gehe also davon aus, das es sich hierbei um einen Support-Admin handelt zb bei Namensänderungen, falschen Angaben etc, wo ein solcher Support halt nötig wäre. Dafür muss natürlich in das Profil geschaut werden. Aus dem Text geht auch nicht hervor, das eine Übernahme des Profil möglich war, nur der Zugriff auf die vom Benutzer eingegebenen Daten.
 
@Crod: Und dein Kommentar soll in irgendeiner Weise besser sein? Ganz im Gegenteil - polemischer geht es wohl kaum noch. Wenn man schon kritisiert, sollte man es wenigstens selbst besser machen. Lies das Original-Interview und vllt. wirst du erkennen, dass die News doch eine gewisse Existenzberechtigung hat, auch wenn das eine oder andere Detail weggelassen wurde. ("Your messages are stored in a database, whether deleted or not. So we can [...] easily look at it without every logging into your account.", "We track everything. Every photo you view, every person you’re tagged with, every wall-post you make, and so forth.")
 
@Hannes Rannes: und was ist so schlimm daran, das ein administrator seine software betrachten kann und einblick in die daten hat? genau das steht in den agbs drin, das die firma "facebook" alle daten speichert , somit ist an der tatsache nichts schlimmes. es ist wieder so dramatisch, dabei wird dieses verhalten seit jahren in JEDER community,foren,email-dienst,usw. genutzt. es ist NICHTS NEUES.
 
@Iceweasel: Soso, jeder Dienst speichert auf welchem Profil ich war, welche Seiten/Fotos ich abgerufen habe, meine auf der Plattform gelöschten Daten, ...? Zum Thema "NICHTS NEUES": "Rumpus: When did Facebook make this change? ____ Employee: That was actually fairly recently, sometime in the last three months. " ,-) ___ Selbst wenn es nichts Neues wäre, so ist es dennoch wichtig ein Bewusstsein dafür zu schaffen, ich bin mir sicher, dass sich nicht jeder Facebook-Benutzer darüber im Klaren ist. Weiters habe ich nur mal die polemische Stellungnahme zur News kritisiert.
 
@Hannes Rannes: ja und? was verädnert das nun, das ein admin weis, welchen user du aufgerufen hast? welche wirkliche veränderung nimmt das nun an? garkeine! dein admin kann daraus vielleicht ein verhalten ziehen, das du erst user z und dann user x und y angeklickt hast. er weiß vielleicht auch noch, wer dein bester freund ist, anhand deiner "klicks". sowas ging aber auch vorher schon, durch auswerten von log-files welche im apache/ec. gespeichert werden. es ist wirklich nichts neues und es verändert auch nichts. das schlimme ist nur, das jeder daraus eine panik ziehen möchte, weil er der meinung ist, das große böse facebook macht sachen, die noch nie zu vor ein mensch gemacht hat. schonmal an google gedacht, was die so alles mitschnippeln? nochmal: es ist nichts neues.
 
@Hannes Rannes: Halte ich für normal, dass es Logging- bzw. Historiebereiche in Datenbanken gibt. Ich habe mir bei der Entwicklung auch angewöhnte Datensätze generell erst mal nicht zu löschen, sondern als gelöscht zu kennzeichnen und ggf. in eine Historietabelle zu verschieben. Kommt natürlich auf die Anwendung an, aber so abwegig ist das ja nun nicht,
 
einzig was dies zeigt, dass die meisten user, die das internet nutzen keine ahnung haben, a. wegen veröffentlichen persönlicher daten b. naiv genug sind zu glauben das die daten nirgendwo gespeichert werden bzw missbraucht werden könnten.
 
C|-|u(k |\|0rri5 !!!

PS: Foren-PNs können die Admins auch lesen :P
 
zomg.
wie die admins können alle daten von mir sehen ?
das ist ja ein datenskandal!!!!
 
@Dr-Gimpfen: Du lachst, ich habe schonmal in einem Unternehmen gearbeitet wo sich einige User beschwert haben als sie Erfahren haben das wir Zugriff auf deren Daten haben, die per Netzlaufwerk auf unseren Servern lagen...
 
@Dr-Gimpfen: solang es keiner weiss interessiert es keinen. auch wenn fehler bei der sicherheit gemacht worden. getreu nach dem motto never change a running ball ähh system :)
 
Zum Glück arbeitet meine Freundin nicht bei Facebook :D
 
Für alle, die es immer noch nicht kapiert haben: Es geht nicht um die kleinen Nerds mit Bauch und Brille (Admins) sondern um die Allgemeinheit. Wäre das Passwort durch nen Zufall öffentlich geworden, wären sofort ein paar hundert Millionen Chinesen auf Facebook gegangen und hätten die Accounts der Amerikaner übernommen und hätten überall reingeschrieben "Death to Amelika". Woraufhin der 3. Weltkrieg ausgebrochen wäre!
 
@heresy: Das Masterpasswort war nur von den Facebook-Büros aus nutzbar! Siehe Original-Artikel.
 
Dieses unwichtige Detail wurde hier für BILD-Journalismus geopfert.
 
@heresy: Bauch und Brille? Ich kenne wenig Admins die so Aussehen, mich inkl.
 
@darkalucard: nein das stimmt nicht! alle admins sehen so aus! basta! linuxer? jesuskutte und lange haare? aber na klar!
 
Das ist doch nun wirklich nichts neues. Lustig ist es dann wenn z.B. so Helden wie in meiner alten Firma am Werk sind und alle Mitarbeiter im SAP zusätzlich als Kunden anlegen. Damit konnte jeder im Haus sofort eine komplette Adressliste mit Geburtsdaten etc. rauslassen... und so wie ich die Deppen kenne haben sie das bis heute noch nicht behoben. :)
 
Im Übrigen, ich hatte heute Nacht Sex und konnte als Administrator auf alle relevanten und ausschlaggebenen Bereiche zugreifen.
 
@Xtremo: Das kann ich am Tag, wenn du auf Arbeit bist, mit dem Masterpasswort auch :D
 
@OttONormalUser: Bestimmt an dir selbst oder im Internet. :P
 
das ist doch 'ne ente, oder!? ... kann ja wohl nicht sein das es EIN master-password für millionen accounts gibt ... und dieses dann ganz normal von überall aus genutzt werden kann.
 
@McNoise: der benutzer root der datenbank hat ein passwort - welches noch höher eingestuft ist, als das sogenannte masterpasswort ... diese news zeigt, wie man a) text falsch interpretieren kann und b) wie man panik in die menge wirft.
 
@Iceweasel: c) wie schlecht redakteure artikel recherchieren/verfassen ... wenn nicht schon im ersten absatz von datenbank die rede ist, dann kann einen so ein satz "Egal welchen Nutzernamen man eingegeben hat, mit dem Master-Passwort konnte man sofortigen Zugriff auf das jeweilige Konto erhalten. " doch sehr verwirren. ... und das harmoniert auch wirklich nicht mit dem root-zugriff auf einen db-server!!!
 
hört mal auf mit diesem Quatsch...alle hier Telefonieren und der Netzbetreieber kann auch jede geschriebene SMS lesen...der INternetprovider könnte jede seite die wir besucht haben ausfindig machen usw...es ist einfach so und ändern können wir nichts aber mich persönlich stört das nicht den wirklich private sachen landen weder auf Facebook noch werden sie per sms anderen mitgeteilt.
 
"Dieser Fall zeigt, dass man mit persönlichen Daten im Internet grundsätzlich vorsichtig umgehen muss. Egal bei welcher Internetseite man sich anmeldet - man muss den Betreibern in einem gewissen Maße vertrauen" ... Leider ist man heute aber nicht mehr bestrebt seine Daten zusammenzuhalten. Man schleudert sie bei jeder Gelegenheit ins Internet. Ansonsten würde es Facebook vielleicht nicht geben, zumindest nicht in dieser Größe.
 
lol ... "Chuck Norris kennt Deine Daten."
 
"Wenn Chuck Norris deinen Facebook Account haben will, nimmt er den Round-House-CLICK!"
 
bei WKW werden immer diese (dümmlichen) Chuck-Norris-Sprüche eingeblendet, wenn mal gerade wieder Wartung angesagt ist......hmm, mal probieren...
 
Facebook ist Stasi auf freiwilliger Basis!
 
@HansF: intelligente kommentare sind leider auch auf freiwilliger basis, weil so manch einer dazu gezwungen werden müsste ...
 
Woah woah, der Datenbankmensch kann Datensätze abfragen die nicht ihm gehören. Wo kommt man denn da hin?
 
Ich seh auf meinen Webseiten mit PHPMyAdmin auch "unberechtigte" Inhalte, das is halt Adminsache? Die Kennwörter sind da ja hoffentlich nicht wie bei Spickmich verschlüsselt^^
 
Solang die Daten in einer offenen DB liegen werden sie immer ausgelesen werden können. Ich würde es gut finden wenn man eine verschlüsselte DB verwenden würde auf die man nur zugreifen könnte wenn man seine Nutzername(bzw. Email)/PW kombi richtig eingibt, nur dann soll diese "antworten".

Bezüglich PW verdeken, nutz SHA512, ales andere ist zu einfach un man bekommt es mit einer Cloud (Lan Party reicht ja shcon, 20+ High Ends PC's auf einen haufen)
 
Chuck Norris isst nicht nur sein Knoppers schon um halb neun - er kann sich auch in jeden Facebook-Account einloggen...
 
Was ich auch mal gut finde: "PHP is a scripted language, your computer or browser reads it" usw... der Mann hat nicht verstanden, wie PHP funktioniert.
 
Man könnte auch einfach die Daten selbst gecryptet in der Datenbank ablegen, als Schlüssel dient wiederum dem Benutzer sein Passwort. Problem hierbei ist jedoch, dass ich irgendwo das Passwort auf Serverseite im Klartext habe, was wiederum ein Entwickler oder Admin mitschneiden könnte.

Es wäre nur Möglich, die Daten auf Clientseite zu entschlüsseln, z.b. via Javascript in Echtzeit.

An sich ist das aber überhaupt nichts ungewöhnliches, sobald einer der üblichen Datenbanksysteme wie MSSQL oder MySQL zum Einsatz kommt, will man ja auch deren Vorteile nutzen und demnach die Datein in Tabellen mit Spalten aufteilen. Nur so kann man ja auch gezielte Abfragen machen, z.b. ich möchte alle Benutzer aus dem Ort X.
Kommentar abgeben Netiquette beachten!

Facebooks Aktienkurs in Euro

Facebooks Aktienkurs - 6 Monate
Zeitraum: 6 Monate

Der Facebook-Film im Preis-Check

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles