Facebook heeft jarenlang wachtwoorden van naar verluidt honderden miljoenen Facebook- en Instagram-gebruikers onbeveiligd opgeslagen. Ook zouden twintigduizend Facebook-medewerkers toegang tot de databases hebben gehad, meldt beveiligingsonderzoeker Brian Krebs donderdag.

Volgens Krebs gaat het om wachtwoorden van 200 tot 600 miljoen Facebook-gebruikers, die vanaf 2012 door Facebook onbeschermd werden bewaard.

Facebook bevestigt dat het naar verwachting om honderden miljoenen gebruikers gaat. In het gros van de gevallen zou het om gebruikers van Facebook Lite gaan. Dat is een 'lichtere' versie van Facebook die in Nederland alleen op Android beschikbaar is.

Facebook zegt in een reactie dat er geen 20.000 medewerkers toegang hadden tot de wachtwoorden, volgen Facebook ging het om "een select aantal technische medewerkers". NU.nl heeft Facebook gevraagd om informatie over mogelijke Nederlandse slachtoffers, maar daar nog geen antwoord op gekregen.

Databases waren extra kwetsbaar voor een datalek

Wachtwoorden worden in databases vaak vervangen door een op het oog willekeurige reeks tekens, een zogenoemde 'hash'. Als een gebruiker bij een dienst probeert in te loggen, wordt ook het ingevoerde wachtwoord omgezet in een hash. Als die tekenreeks overeenkomt met de al opgeslagen hash, dan wordt een gebruiker ingelogd.

Volgens Krebs heeft Facebook voor bepaalde toepassingen verzuimd om de wachtwoorden te hashen, waardoor de toegangscodes tot Facebook-accounts als platte tekst waren opgeslagen. De databases zijn daardoor extra kwetsbaar voor een datalek, omdat een hacker daarmee automatisch toegang tot een Facebook-account kan krijgen.

Op de vraag om wat voor toepassingen het precies gaat, kon de Facebook-woordvoerder niet direct antwoord geven. Ook is nog onduidelijk of alle wachtwoorden op dezelfde plek of verspreid waren opgeslagen.

Facebook: 'Geen bewijs' van misbruik database

Het is onduidelijk of een Facebook-medewerker misbruik heeft gemaakt van toegang tot de wachtwoorden of dat een derde partij inzicht heeft gehad in de databases. Volgens Facebook is er tot nu toe 'geen bewijs' gevonden dat dit het geval is geweest.

Facebook raakte in januari 2019 op de hoogte van het datalek. Het bedrijf zegt getroffen gebruikers over de situatie te gaan informeren. Zij krijgen een melding zodra zij op Facebook of Instagram inloggen, bevestigt de woordvoerder van Facebook Nederland. Op welke termijn dat gebeurt, is niet duidelijk.

Facebook geeft gebruikers in de melding het advies om hun wachtwoord te veranderen, maar het sociale medium gaat dat niet afdwingen, zegt de woordvoerder.

Dit bericht wordt aangevuld zodra NU.nl meer informatie van Facebook ontvangt.