Nutzerinnen und Nutzer der Fotoplattform Instagram waren deutlich stärker von einer im März öffentlich gemachten Sicherheitslücke bei Facebook betroffen als bisher bekannt. Der Onlinedienst räumte ein, die Passwörter von Millionen von Instagram-Nutzern seien unverschlüsselt auf internen Servern gespeichert worden.

Bei Bekanntwerden der Sicherheitslücke hatte Facebook bestätigt, dass "Hunderte Millionen Nutzer von Facebook Lite, Dutzende Millionen weitere Facebook-Nutzer sowie Zehntausende Instagram-Nutzer" von der Panne betroffen seien. Seitdem seien aber zahlreiche weitere unverschlüsselt gespeicherte Passwörter entdeckt worden. Facebook Lite ist eine abgespeckte Version des Netzwerks für Regionen mit langsamem Internetzugang.

Facebook hatte im März betont, dass die Passwörter niemals für Außenstehende sichtbar gewesen seien. Auch gebe es bislang keinen Hinweis darauf, dass Mitarbeiter sie missbraucht hätten. Facebook war in den vergangenen Jahren mehrfach von Datenschutzpannen betroffen. Unter anderem waren möglicherweise Beiträge von mehreren Millionen Nutzern, die nur für Freunde sichtbar sein sollten, öffentlich zu sehen.

E-Mail-Kontakte von Millionen Nutzern ungefragt hochgeladen

Am Donnerstag war zudem eine weitere Sicherheitslücke bekannt geworden. Wie Facebook bestätigte, seien in den vergangenen drei Jahren Daten der E-Mail-Kontakte von bis zu 1,5 Millionen Nutzern ohne Erlaubnis hochgeladen worden. Man habe den Fehler im vergangenen Monat nach einer Änderung am Anmeldeverfahren entdeckt und seitdem behoben. Die Daten seien mit niemandem geteilt worden und würden gelöscht. Betroffene Nutzer würden informiert.

Zuerst hatte das Finanznachrichtenportal Business Insider über den Fehler berichtet. In einigen Fällen wurden Nutzer demnach dazu aufgefordert, das Passwort ihres E-Mail-Accounts direkt auf Facebook einzugeben, um ihre E-Mail-Adresse zu bestätigen. Im Anschluss habe Facebook die Kontaktdaten aus dem E-Mail-Postfach importiert, ohne um Erlaubnis dafür zu fragen.

Bis Mai 2016 bot Facebook die Möglichkeit an, bei der Verifizierung einer E-Mail-Adresse freiwillig die Kontakte aus dem Mailkonto hochzuladen. So konnte der Konzern den Nutzern etwa Kontakte, die auf Facebook die gleiche E-Mail-Adresse nutzen, als Freunde vorschlagen. Nach Kritik von Datenschützern wurde das Verfahren abgeschafft. Wie ein Sprecher des Netzwerks dem Business Insider bestätigte, wurde aber lediglich der Texthinweis auf die Funktion tatsächlich gelöscht. Die zugrunde liegende Funktionalität sei bestehen geblieben.