Abo
  • Services:

Zugangstoken erbeutet: Unbekannte hacken 50 Millionen Facebook-Konten

Bislang unbekannte Angreifer haben möglicherweise Zugang zu fast 50 Millionen Facebook-Profilen bekommen. Das Ausmaß der Attacke ist noch nicht völlig klar, die irische Datenschutzbehörde fordert Aufklärung.

Artikel veröffentlicht am , / dpa
Facebook hat eine schwere Sicherheitslücke entdeckt.
Facebook hat eine schwere Sicherheitslücke entdeckt. (Bild: Eric Gaillard/Reuters)

Fast 50 Millionen Facebook-Nutzer sind von einem Hackerangriff mit noch unklaren Folgen betroffen. Die Angreifer hätten Zugangstoken erbeutet, mit denen sie "die Profile nutzen konnten als seien es ihre eigenen", sagte Facebook-Manager Guy Rosen am Freitag. Nach bisherigen Erkenntnissen riefen die Hacker aber keine Nachrichten des Facebook-Messengers ab oder versuchten, Inhalte im Namen der betroffenen Nutzer zu posten. Kreditkartendaten oder andere Informationen seien ebenfalls nicht abgeflossen, sagte Facebook nach Angaben von Ars Technica.

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart
  2. CSL Behring GmbH, Marburg, Hattersheim am Main

Allerdings hätten die Angreifer in großem Stil Profil-Informationen wie Name, Geschlecht und Wohnort abgerufen. Dadurch sei die Attacke auch aufgefallen. Bisher habe Facebook keinen bestimmten Fokus auf bestimmte Regionen oder Nutzergruppen feststellen können.

Urheber völlig unklar

"Wir wissen nicht, wer hinter dieser Attacke steckt", sagte Gründer und Chef Mark Zuckerberg in einer eilig einberufenen Telefonkonferenz. Man werde das möglicherweise auch nie erfahren, fügte Produktchef Rosen hinzu. Die Attacke sei am Dienstag entdeckt und die Schwachstelle inzwischen geschlossen worden, hieß es. Man habe auch die US-Bundespolizei FBI eingeschaltet. Gemäß der neuen EU-Datenschutzgrundverordnung (DSGVO) seien zudem Behörden in Irland unterrichtet worden.

Die Angreifer hätten eine Sicherheitslücke in der "Anzeigen aus der Sicht von"-Funktion ausgenutzt, mit der Facebook-Mitglieder sich ihr Profil aus der Sicht anderer Nutzer anzeigen lassen können, erläuterte das Unternehmen. Die Schwachstelle sei im Juli 2017 durch eine Kombination aus drei Software-Fehlern im Zusammenhang mit dem Video-Upload-Tool entstanden, erläuterte Rosen. Zunächst einmal sei der Video-Uploader fälschlicherweise in der "Anzeigen aus der Sicht von"-Ansicht angezeigt worden. Für bestimmte Posts wie Geburtstagsgrüße, sei der Uploader aktiv gewesen.

Uploader generierte falsches Token

Der nächste Bug habe darin bestanden, dass der Uploader ein Single-Sign-on-Token generiert habe, was laut Rosen nicht zulässig war. Das eigentliche Problem war allerdings der dritte Bug: Der Uploader generierte nicht ein Token des Nutzers, sondern derjenigen Person, aus deren Sicht sich der Nutzer seine eigene Seite ansah. Die Hacker entdeckten nicht nur die Kombination der Bugs, sondern waren offenbar auch in der Lage, sie millionenfach auszunutzen.

Die Funktion mit der Anzeige des Profils aus anderen Perspektiven sei vorerst vorsichtshalber abgeschaltet worden, teilte Facebook weiter mit. Für weitere rund 40 Millionen Nutzer widerrief Facebook die Anmelde-Token, die mit der "Anzeigen aus der Sicht von"-Funktion genutzt worden waren.

Irische Datenschutzbehörde fordert Aufklärung

Die Attacke kommt zu einem extrem ungünstigen Zeitpunkt für das Online-Netzwerk, das noch mit den Auswirkungen des Datenskandals um Cambridge Analytica zu kämpfen hat. Zudem versucht Facebook gerade mit größten Anstrengungen, die Plattform vor den wichtigen Kongress-Wahlen in den USA im November abzusichern. Die Facebook-Aktie fiel nach der Mitteilung um drei Prozent.

Die zuständige irische Datenschutzbehörde DPC twitterte am Freitag: "Die DPC ist besorgt, dass dieser Datenvorfall am Dienstag entdeckt wurde und Millionen Nutzer betrifft. Derzeit ist Facebook nicht in der Lage, die Art des Vorfalls und die Risiken für die Nutzer zu klären. Wir drängen Facebook dazu, diese Fragen so schnell wie möglich zu klären."

Die Ende Mai 2018 in Kraft getretene DSGVO bietet den Aufsichtsbehörden die Möglichkeit, deutlich höhere Bußgelder als zuvor zu verhängen. Artikel 83, Nummer 4 der DSGVO sieht bei schweren Verstößen Geldbußen in Höhe von bis zu zehn Millionen Euro oder bis zu zwei Prozent des Jahresumsatzes vor, wenn ein Datenverarbeiter seine Pflichten verletzt hat. Bei schweren Verstößen sind sogar doppelt so hohe Bußgelder möglich.



Anzeige
Top-Angebote
  1. (u. a. TV-Angebote von Sony, LG und Philips)
  2. 129€ (Bestpreis!)
  3. 259,90€ + Versand (Bestpreis!)
  4. 299€ + Versand (Bestpreis!)

gaym0r 01. Okt 2018

Es wurden Namen und Geschlechterinfos abgerufen. Es wurden keine Passwörter oder...

Ach 01. Okt 2018

Ein falsch verstandener Andy Warhol. Original: "In the future everybody will be world...

Tigtor 30. Sep 2018

Vielleicht einfach noch einen Satz weiter lesen ..

mambokurt 30. Sep 2018

Ich bezweifele jetzt einfach mal dass da ein unterirdischer Bunker unter der Fassade...

Niaxa 30. Sep 2018

Ziemlich hirnverbrannte Aktion, aber der Hack war gut.


Folgen Sie uns
       


Artifact - Fazit

Valve schuldet der Spielerschaft eigentlich noch Half-Life 3. Das Unternehmen will aber anscheinend dafür erst einmal genügend Geld durch das neue Sammelkartenspiel Artifact sammeln.

Artifact - Fazit Video aufrufen
Yuneec H520: 3D-Modell aus der Drohne
Yuneec H520
3D-Modell aus der Drohne

Multikopter werden zunehmend auch kommerziell verwendet. Vor allem machen die Drohnen Luftbilder und Inspektionsflüge und vermessen. Wir haben in der Praxis getestet, wie gut das mit dem Yuneec H520 funktioniert.
Von Dirk Koller


    IT: Frauen, die programmieren und Bier trinken
    IT
    Frauen, die programmieren und Bier trinken

    Fest angestellte Informatiker sind oft froh, nach Feierabend nicht schon wieder in ein Get-together zu müssen. Doch was ist, wenn man kein Team hat und sich selbst Programmieren beibringt? Women Who Code veranstaltet Programmierabende für Frauen, denen es so geht. Golem.de war dort.
    Von Maja Hoock

    1. Job-Porträt Die Cobol Cowboys auf wichtiger Mission
    2. Software-Entwickler CDU will Online-Weiterbildung à la Netflix
    3. Job-Porträt Cyber-Detektiv "Ich musste als Ermittler über 1.000 Onanie-Videos schauen"

    Requiem zur Cebit: Es war einmal die beste Messe
    Requiem zur Cebit
    Es war einmal die beste Messe

    Nach 33 Jahren ist Schluss mit der Cebit und das ist mehr als schade. Wir waren dabei, als sie noch nicht nur die größte, sondern auch die beste Messe der Welt war - und haben dann erlebt, wie Trends verschlafen wurden. Ein Nachruf.
    Von Nico Ernst

    1. IT-Messe Die Cebit wird eingestellt

      •  /