Vanaf 2012 zouden er tussen de 200 en 600 miljoen wachtwoorden onbeschermd worden opgeslagen. Facebook bevestigt dit, maar laat ook weten dat dit het meeste gaat om gebruikers van Facebook Lite, wat een minder geavanceerde Facebook-versie is die alleen op Android beschikbaar is.

Een specifiek aantal wachtwoorden heeft Facebook niet kunnen melden en of er ook Nederlandse wachtwoorden onbeveiligd zijn opgeslagen wil Facebook nog niet vertellen.

Hoe kan het dat deze Facebook wachtwoorden onbeveiligd waren?

Wanneer je een wachtwoord aanmaakt wordt er in de database van het desbetreffende bedrijf een reeks aan willekeurige tekens aangemaakt. Deze zogeheten ‘hash’ is voor elk aangemaakt wachtwoord uniek. Mocht je weer willen inloggen met hetzelfde wachtwoord, dan wordt deze hash opnieuw gemaakt en vergeleken met degene die al in de database staat. Komt deze overeen? Dan wordt je ingelogd.

Volgens Brian Krebs is deze stap overgeslagen voor veel wachtwoorden van Facebook en Instagram. Hierdoor komen de aangemaakte wachtwoorden als platte tekst in de database, zonder de hash waarmee de beveiliging wordt gedaan. Hierdoor is het voor hackers extreem makkelijk om in te loggen op andermans account, aangezien ze niet eerst door de hash heen moeten komen.

Facebook

Hebben Facebook-medewerkers hier misbruik van gemaakt?

Volgens Facebook is er op dit moment geen aanleiding om ervan uit te gaan dat Facebook-medewerkers dit lek hebben misbruikt. In 2019 werd dit lek bekend bij het bedrijf. Facebook gaat gebruikers op de hoogte stellen door tijdens het inloggen een bericht te sturen dat zij het beste hun wachtwoord kunnen veranderen. Dit zal alleen bij de Facebook en Instagram-gebruikers zijn die ook daadwerkelijk door de lek zijn aangetast.