Passwörter von vielen Millionen Facebook-Nutzern sind für Mitarbeiterinnen und Mitarbeiter des Konzerns im Klartext zugänglich gewesen. "Wir gehen davon aus, dass wir Hunderte Millionen Nutzer von Facebook Lite, Dutzende Millionen weitere Facebook-Nutzer sowie Zehntausende Instagram-Nutzer benachrichtigen werden", teilte das Unternehmen mit. Facebook habe keine Hinweise darauf, dass jemand intern missbräuchlich darauf zugegriffen habe, hieß es weiter. Die Passwörter seien auch für niemanden außerhalb des Unternehmens sichtbar gewesen.

Die betroffenen Nutzerinnen und Nutzer sollen dennoch "als Vorsichtsmaßnahme" benachrichtigt werden, obwohl es keinen Hinweis auf einen Missbrauch der Daten gebe. Die Passwörter hätten eigentlich auch intern unkenntlich sein müssen. Der Fehler sei bei einer Routineprüfung im Januar aufgefallen und inzwischen behoben worden – Facebook machte keine Angaben dazu, wann genau.

Facebook Lite ist eine abgespeckte Version für Nutzer des Onlinenetzwerks in Regionen mit langsamen Internetleitungen.

Kurz vor der Facebook-Mitteilung hatte der IT-Sicherheitsexperte Brian Krebs auf seinem Blog von dem Fall berichtet. Er schrieb unter Berufung auf einen nicht namentlich genannten Facebook-Insider, mehr als 20.000 Mitarbeiterinnen und Mitarbeiter des Onlinenetzwerks hätten Zugriff auf die im Klartext gespeicherten Passwörter haben können. Insgesamt könnten 200 bis 600 Millionen Nutzerinnen und Nutzer betroffen sein.

Die Archivdateien mit unverschleierten Passwörtern gingen bis ins Jahr 2012 zurück, schreibt Krebs. Laut Logdaten hätten rund 2.000 Entwicklerinnen und Entwickler etwa neun Millionen interne Abfragen für Datenelemente gemacht, die ungeschützte Passwörter enthielten. Facebook machte dazu keine Angaben.