MSI RTX 2080 Serie

Facebook-Hack: Wie, was und nun?

reported by doelf, Montag der 01.10.2018, 16:17:09 Uhr

Am 25. September 2018 bemerkten Facebooks Entwickler eine Sicherheitslücke, welche rund 50 Millionen Nutzer betrifft. Über die Funktion "Anzeigen aus der Sicht von" konnten Angreifer auch ohne Kenntnis eines Passworts gültige "Access Tokens" für ihre Opfer generieren und deren persönliche Daten einsehen. Für Facebook könnte das teuer werden.

Aller schlechten Fehler sind drei
Die Funktion "Anzeigen aus der Sicht von" ermöglicht es Facebook-Nutzern, ihre Facebook-Seite aus Sicht Dritter zu betrachten. Dies soll dabei helfen, die eigenen Einstellungen zur Privatsphäre zu optimieren. Eigentlich sollte "Anzeigen aus der Sicht von" sicher sein, insbesondere da es sich um eine Ansicht ohne Schreibmöglichkeiten handelt. Dummerweise war in dieser Ansicht für Geburtstagswünsche die Möglichkeit gesetzt, ein Video zu veröffentlichen.

Mit einer im Juli 2017 veröffentlichten Version des Video-Uploaders wurde ein zweiter Fehler einführt: Der Video Upload generierte irrtümlicherweise ein "Access Token" mit den Rechten der mobilen Facebook-App. Ein solches "Access Token" dient zur Verifizierung des Benutzers und ersetzt das Passwort. Hat sich der Benutzer einmal mit Name und Passwort angemeldet, wird ein "Access Token" generiert, welches weitere Passwortabfragen überflüssig macht.

Der dickste Hund kommt aber zum Schluss: Wurde der fehlerhafte Video-Uploader mit dem fehlerhaften "Anzeigen aus der Sicht von" verwendet, generierte dieser gleich zwei Tokens: Eines für den tatsächlichen Nutzer und ein zweites für denjenigen, aus dessen Sicht man seine Facebook-Seite betrachtete. Und mit diesen "Access Tokens" konnten die Angreifer dann fremde Konten einsehen und verwenden, als wären es ihre eigenen.

Die Tragweite des Hacks
Tatsächliche ist die Tragweite des Angriffs noch unklar. Die von Nutzern hinterlegten Daten wurden von den Angreifern kopiert. Theoretisch hätten die Angreifer auch Beiträge im Namen der Nutzer verfassen können, doch das ist wohl nicht geschehen. Da man sich mit seinem Facebook-Konto auch bei anderen Internetdiensten anmelden kann, besteht allerdings das Risiko, dass auch Daten bei Drittanbietern wie Airbnb, Spotify oder Tinder betroffen sind. Bestätigt ist das aber noch nicht.

Was muss man nun tun?
Gar nichts. Facebook hat die drei Sicherheitslücken geschlossen und die Funktion "Anzeigen aus der Sicht von" vorübergehend deaktiviert. Die alten "Access Tokens" wurden für ungültig erklärt, weshalb sich die betroffenen Nutzer neu einloggen müssen. Die Daten zurückholen kann man natürlich nicht, aber man sollte sich jetzt gründlich überlegen, ob man sich bei Drittanbietern wirklich mit seinem Facebook-Konto anmelden möchte.

Konsequenzen für Facebook
Facebook führt sein Europageschäft aus Irland und daher ist die irische Datenschutzbehörde für die Ahndung solcher Vorfälle zuständig. Diese hat das Unternehmen bereits kontaktiert und möchte wissen, wie viele der Betroffenen in der Europäischen Union leben und was mit deren Daten geschehen ist. Facebook verspricht zwar zu kooperieren, lieferte bisher aber so gut wie keine Details. Auf Basis der Datenschutzgrundverordnung (DSGVO) könnte sich für Facebook eine Strafe in Milliardenhöhe ergeben.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]