• IT-Karriere:
  • Services:

Zugangstoken erbeutet: Unbekannte hacken 50 Millionen Facebook-Konten

Bislang unbekannte Angreifer haben möglicherweise Zugang zu fast 50 Millionen Facebook-Profilen bekommen. Das Ausmaß der Attacke ist noch nicht völlig klar, die irische Datenschutzbehörde fordert Aufklärung.

Artikel veröffentlicht am , / dpa
Facebook hat eine schwere Sicherheitslücke entdeckt.
Facebook hat eine schwere Sicherheitslücke entdeckt. (Bild: Eric Gaillard/Reuters)

Fast 50 Millionen Facebook-Nutzer sind von einem Hackerangriff mit noch unklaren Folgen betroffen. Die Angreifer hätten Zugangstoken erbeutet, mit denen sie "die Profile nutzen konnten als seien es ihre eigenen", sagte Facebook-Manager Guy Rosen am Freitag. Nach bisherigen Erkenntnissen riefen die Hacker aber keine Nachrichten des Facebook-Messengers ab oder versuchten, Inhalte im Namen der betroffenen Nutzer zu posten. Kreditkartendaten oder andere Informationen seien ebenfalls nicht abgeflossen, sagte Facebook nach Angaben von Ars Technica.

Stellenmarkt
  1. Standard Life, Frankfurt am Main
  2. noris network AG, Nürnberg, Aschheim (bei München), Berlin (Remote-Office möglich)

Allerdings hätten die Angreifer in großem Stil Profil-Informationen wie Name, Geschlecht und Wohnort abgerufen. Dadurch sei die Attacke auch aufgefallen. Bisher habe Facebook keinen bestimmten Fokus auf bestimmte Regionen oder Nutzergruppen feststellen können.

Urheber völlig unklar

"Wir wissen nicht, wer hinter dieser Attacke steckt", sagte Gründer und Chef Mark Zuckerberg in einer eilig einberufenen Telefonkonferenz. Man werde das möglicherweise auch nie erfahren, fügte Produktchef Rosen hinzu. Die Attacke sei am Dienstag entdeckt und die Schwachstelle inzwischen geschlossen worden, hieß es. Man habe auch die US-Bundespolizei FBI eingeschaltet. Gemäß der neuen EU-Datenschutzgrundverordnung (DSGVO) seien zudem Behörden in Irland unterrichtet worden.

Die Angreifer hätten eine Sicherheitslücke in der "Anzeigen aus der Sicht von"-Funktion ausgenutzt, mit der Facebook-Mitglieder sich ihr Profil aus der Sicht anderer Nutzer anzeigen lassen können, erläuterte das Unternehmen. Die Schwachstelle sei im Juli 2017 durch eine Kombination aus drei Software-Fehlern im Zusammenhang mit dem Video-Upload-Tool entstanden, erläuterte Rosen. Zunächst einmal sei der Video-Uploader fälschlicherweise in der "Anzeigen aus der Sicht von"-Ansicht angezeigt worden. Für bestimmte Posts wie Geburtstagsgrüße, sei der Uploader aktiv gewesen.

Uploader generierte falsches Token

Der nächste Bug habe darin bestanden, dass der Uploader ein Single-Sign-on-Token generiert habe, was laut Rosen nicht zulässig war. Das eigentliche Problem war allerdings der dritte Bug: Der Uploader generierte nicht ein Token des Nutzers, sondern derjenigen Person, aus deren Sicht sich der Nutzer seine eigene Seite ansah. Die Hacker entdeckten nicht nur die Kombination der Bugs, sondern waren offenbar auch in der Lage, sie millionenfach auszunutzen.

Die Funktion mit der Anzeige des Profils aus anderen Perspektiven sei vorerst vorsichtshalber abgeschaltet worden, teilte Facebook weiter mit. Für weitere rund 40 Millionen Nutzer widerrief Facebook die Anmelde-Token, die mit der "Anzeigen aus der Sicht von"-Funktion genutzt worden waren.

Irische Datenschutzbehörde fordert Aufklärung

Die Attacke kommt zu einem extrem ungünstigen Zeitpunkt für das Online-Netzwerk, das noch mit den Auswirkungen des Datenskandals um Cambridge Analytica zu kämpfen hat. Zudem versucht Facebook gerade mit größten Anstrengungen, die Plattform vor den wichtigen Kongress-Wahlen in den USA im November abzusichern. Die Facebook-Aktie fiel nach der Mitteilung um drei Prozent.

Die zuständige irische Datenschutzbehörde DPC twitterte am Freitag: "Die DPC ist besorgt, dass dieser Datenvorfall am Dienstag entdeckt wurde und Millionen Nutzer betrifft. Derzeit ist Facebook nicht in der Lage, die Art des Vorfalls und die Risiken für die Nutzer zu klären. Wir drängen Facebook dazu, diese Fragen so schnell wie möglich zu klären."

Die Ende Mai 2018 in Kraft getretene DSGVO bietet den Aufsichtsbehörden die Möglichkeit, deutlich höhere Bußgelder als zuvor zu verhängen. Artikel 83, Nummer 4 der DSGVO sieht bei schweren Verstößen Geldbußen in Höhe von bis zu zehn Millionen Euro oder bis zu zwei Prozent des Jahresumsatzes vor, wenn ein Datenverarbeiter seine Pflichten verletzt hat. Bei schweren Verstößen sind sogar doppelt so hohe Bußgelder möglich.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Trolls World Tour (4K UHD) für 19,99€, Distburbing The Peace (Blu-ray) für 14,03€, Der...
  2. (u. a. Resident Evil 3 (2020) für 24,99€, Detroit: Become Human - Epic Games Store Key für 27...
  3. 11,69€ (Bestpreis!)
  4. (aktuell u. a. Amazon Basics günstiger (u. a. AXE Superb 128 GB USB 3.1 SuperSpeed USB-Stick für...

gaym0r 01. Okt 2018

Es wurden Namen und Geschlechterinfos abgerufen. Es wurden keine Passwörter oder...

Ach 01. Okt 2018

Ein falsch verstandener Andy Warhol. Original: "In the future everybody will be world...

Tigtor 30. Sep 2018

Vielleicht einfach noch einen Satz weiter lesen ..

mambokurt 30. Sep 2018

Ich bezweifele jetzt einfach mal dass da ein unterirdischer Bunker unter der Fassade...

Niaxa 30. Sep 2018

Ziemlich hirnverbrannte Aktion, aber der Hack war gut.


Folgen Sie uns
       


Die Entstehung von Unix (Golem Geschichte)

Zwei Programmierer entwarfen nahezu im Alleingang eines der wichtigsten Betriebssysteme.

Die Entstehung von Unix (Golem Geschichte) Video aufrufen
Galaxy Note 20 im Hands-on: Samsung entwickelt sein Stift-Smartphone kaum weiter
Galaxy Note 20 im Hands-on
Samsung entwickelt sein Stift-Smartphone kaum weiter

Samsungs Galaxy Note 20 kommt in zwei Versionen auf den Markt, die beide fast gleich groß, aber unterschiedlich ausgestattet sind.
Ein Hands-on von Tobias Költzsch

  1. Samsung Galaxy Watch 3 kostet ab 418 Euro
  2. Galaxy Tab S7 Samsung bringt Top-Tablets ab 681 Euro
  3. Galaxy Buds Live Samsung stellt bohnenförmige drahtlose Kopfhörer vor

Golem on Edge: Wo Nachbarn alles teilen - auch das Internet
Golem on Edge
Wo Nachbarn alles teilen - auch das Internet

Mehr schlecht als recht arbeiten zu können und auch nur dann, wenn die Nachbarn nicht telefonieren - das war keine Dauerlösung. Wie ich endlich Internet in meine Datsche bekommen habe.
Eine Kolumne von Sebastian Grüner

  1. Keine Glasfaser, keine IT-Kompetenz Schulen bemühen sich vergeblich um Geld aus dem Digitalpakt
  2. Kultusministerien Schulen rufen kaum Geld aus Digitalpakt ab
  3. Change-Management Wie man Mitarbeiter mitnimmt

Pixel 4a im Test: Google macht das Pixel kleiner und noch günstiger
Pixel 4a im Test
Google macht das Pixel kleiner und noch günstiger

Google macht mit dem Pixel 4a einiges anders als beim 3a - und eine Menge richtig, unter anderem beim Preis. Im Herbst sollen eine 5G-Version und das Pixel 5 folgen.
Ein Test von Tobias Költzsch

  1. Smartphone Google stellt das Pixel 4 ein
  2. Android Googles Dateimanager erlaubt PIN-geschützten Ordner
  3. Google Internes Dokument weist auf faltbares Pixel hin

    •  /