Zugangstoken erbeutet: Unbekannte hacken 50 Millionen Facebook-Konten

Bislang unbekannte Angreifer haben möglicherweise Zugang zu fast 50 Millionen Facebook-Profilen bekommen. Das Ausmaß der Attacke ist noch nicht völlig klar, die irische Datenschutzbehörde fordert Aufklärung.

Artikel veröffentlicht am , / dpa
Facebook hat eine schwere Sicherheitslücke entdeckt.
Facebook hat eine schwere Sicherheitslücke entdeckt. (Bild: Eric Gaillard/Reuters)

Fast 50 Millionen Facebook-Nutzer sind von einem Hackerangriff mit noch unklaren Folgen betroffen. Die Angreifer hätten Zugangstoken erbeutet, mit denen sie "die Profile nutzen konnten als seien es ihre eigenen", sagte Facebook-Manager Guy Rosen am Freitag. Nach bisherigen Erkenntnissen riefen die Hacker aber keine Nachrichten des Facebook-Messengers ab oder versuchten, Inhalte im Namen der betroffenen Nutzer zu posten. Kreditkartendaten oder andere Informationen seien ebenfalls nicht abgeflossen, sagte Facebook nach Angaben von Ars Technica.

Stellenmarkt
  1. Digital Consultant (m/w/d)
    ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
  2. Senior Architect Microsoft Azure (m/w/d)
    operational services GmbH & Co. KG, Frankfurt am Main, Berlin, Dresden, München, Wolfsburg
Detailsuche

Allerdings hätten die Angreifer in großem Stil Profil-Informationen wie Name, Geschlecht und Wohnort abgerufen. Dadurch sei die Attacke auch aufgefallen. Bisher habe Facebook keinen bestimmten Fokus auf bestimmte Regionen oder Nutzergruppen feststellen können.

Urheber völlig unklar

"Wir wissen nicht, wer hinter dieser Attacke steckt", sagte Gründer und Chef Mark Zuckerberg in einer eilig einberufenen Telefonkonferenz. Man werde das möglicherweise auch nie erfahren, fügte Produktchef Rosen hinzu. Die Attacke sei am Dienstag entdeckt und die Schwachstelle inzwischen geschlossen worden, hieß es. Man habe auch die US-Bundespolizei FBI eingeschaltet. Gemäß der neuen EU-Datenschutzgrundverordnung (DSGVO) seien zudem Behörden in Irland unterrichtet worden.

Die Angreifer hätten eine Sicherheitslücke in der "Anzeigen aus der Sicht von"-Funktion ausgenutzt, mit der Facebook-Mitglieder sich ihr Profil aus der Sicht anderer Nutzer anzeigen lassen können, erläuterte das Unternehmen. Die Schwachstelle sei im Juli 2017 durch eine Kombination aus drei Software-Fehlern im Zusammenhang mit dem Video-Upload-Tool entstanden, erläuterte Rosen. Zunächst einmal sei der Video-Uploader fälschlicherweise in der "Anzeigen aus der Sicht von"-Ansicht angezeigt worden. Für bestimmte Posts wie Geburtstagsgrüße, sei der Uploader aktiv gewesen.

Uploader generierte falsches Token

Golem Akademie
  1. Netzwerktechnik Kompaktkurs: virtueller Fünf-Tage-Workshop
    14.–18. Februar 2022, virtuell
  2. Jira für Anwender: virtueller Ein-Tages-Workshop
    4. Februar 2022, virtuell
Weitere IT-Trainings

Der nächste Bug habe darin bestanden, dass der Uploader ein Single-Sign-on-Token generiert habe, was laut Rosen nicht zulässig war. Das eigentliche Problem war allerdings der dritte Bug: Der Uploader generierte nicht ein Token des Nutzers, sondern derjenigen Person, aus deren Sicht sich der Nutzer seine eigene Seite ansah. Die Hacker entdeckten nicht nur die Kombination der Bugs, sondern waren offenbar auch in der Lage, sie millionenfach auszunutzen.

Die Funktion mit der Anzeige des Profils aus anderen Perspektiven sei vorerst vorsichtshalber abgeschaltet worden, teilte Facebook weiter mit. Für weitere rund 40 Millionen Nutzer widerrief Facebook die Anmelde-Token, die mit der "Anzeigen aus der Sicht von"-Funktion genutzt worden waren.

Irische Datenschutzbehörde fordert Aufklärung

Die Attacke kommt zu einem extrem ungünstigen Zeitpunkt für das Online-Netzwerk, das noch mit den Auswirkungen des Datenskandals um Cambridge Analytica zu kämpfen hat. Zudem versucht Facebook gerade mit größten Anstrengungen, die Plattform vor den wichtigen Kongress-Wahlen in den USA im November abzusichern. Die Facebook-Aktie fiel nach der Mitteilung um drei Prozent.

Die zuständige irische Datenschutzbehörde DPC twitterte am Freitag: "Die DPC ist besorgt, dass dieser Datenvorfall am Dienstag entdeckt wurde und Millionen Nutzer betrifft. Derzeit ist Facebook nicht in der Lage, die Art des Vorfalls und die Risiken für die Nutzer zu klären. Wir drängen Facebook dazu, diese Fragen so schnell wie möglich zu klären."

Die Ende Mai 2018 in Kraft getretene DSGVO bietet den Aufsichtsbehörden die Möglichkeit, deutlich höhere Bußgelder als zuvor zu verhängen. Artikel 83, Nummer 4 der DSGVO sieht bei schweren Verstößen Geldbußen in Höhe von bis zu zehn Millionen Euro oder bis zu zwei Prozent des Jahresumsatzes vor, wenn ein Datenverarbeiter seine Pflichten verletzt hat. Bei schweren Verstößen sind sogar doppelt so hohe Bußgelder möglich.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


gaym0r 01. Okt 2018

Es wurden Namen und Geschlechterinfos abgerufen. Es wurden keine Passwörter oder...

Ach 01. Okt 2018

Ein falsch verstandener Andy Warhol. Original: "In the future everybody will be world...

Tigtor 30. Sep 2018

Vielleicht einfach noch einen Satz weiter lesen ..

mambokurt 30. Sep 2018

Ich bezweifele jetzt einfach mal dass da ein unterirdischer Bunker unter der Fassade...

Niaxa 30. Sep 2018

Ziemlich hirnverbrannte Aktion, aber der Hack war gut.



Aktuell auf der Startseite von Golem.de
Musterfeststellungsklage
Parship kann eine Kündigungswelle erwarten

Die Verbraucherzentrale ruft zur Kündigung bei Parship und zur Teilnahme an einer Musterfeststellungsklage auf. Doch laut Betreiber PE Digital ist das aussichtslos.

Musterfeststellungsklage: Parship kann eine Kündigungswelle erwarten
Artikel
  1. Open Source: Antworten Sie innerhalb von 24 Stunden
    Open Source
    "Antworten Sie innerhalb von 24 Stunden"

    Die E-Mail eines großen Konzerns an den Entwickler von Curl zeigt wohl eher aus Versehen, wie problematisch das Verhältnis vieler Firmen zu Open-Source-Software ist.

  2. Entwickler gesucht: Blizzard arbeitet an einem Survivalgame
    Entwickler gesucht
    Blizzard arbeitet an einem Survivalgame

    Laut Firmenchef ist es schon spielbar: Blizzard hat ein neues Serienuniversum angekündigt - in dem es möglicherweise Fahrräder gibt.

  3. Elektro-Pick-up: Neuer Tesla-Cybertruck-Prototyp gefilmt
    Elektro-Pick-up
    Neuer Tesla-Cybertruck-Prototyp gefilmt

    In einem Video wird ein neuer Cybertruck-Prototyp von Tesla im Detail gezeigt. Es stammt vermutlich aus der Gigafactory in Texas.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3070 Ti 8GB 1.039€ • RX 6900XT 16 GB für 1.495€ • Acer Curved Gaming-Monitor 27" 259€ • RX 6800XT 16GB 1.229€ • Corsair 16GB DDR4-4000 111,21€ • 10% auf Gaming bei Ebay (u. a. Gigabyte 34" Curved UWQHD 144Hz 429,30€) • Razer Gaming-Stuhl 179,99€ [Werbung]
    •  /