Abo
  • Services:

Zugangstoken erbeutet: Unbekannte hacken 50 Millionen Facebook-Konten

Bislang unbekannte Angreifer haben möglicherweise Zugang zu fast 50 Millionen Facebook-Profilen bekommen. Das Ausmaß der Attacke ist noch nicht völlig klar, die irische Datenschutzbehörde fordert Aufklärung.

Artikel veröffentlicht am , / dpa
Facebook hat eine schwere Sicherheitslücke entdeckt.
Facebook hat eine schwere Sicherheitslücke entdeckt. (Bild: Eric Gaillard/Reuters)

Fast 50 Millionen Facebook-Nutzer sind von einem Hackerangriff mit noch unklaren Folgen betroffen. Die Angreifer hätten Zugangstoken erbeutet, mit denen sie "die Profile nutzen konnten als seien es ihre eigenen", sagte Facebook-Manager Guy Rosen am Freitag. Nach bisherigen Erkenntnissen riefen die Hacker aber keine Nachrichten des Facebook-Messengers ab oder versuchten, Inhalte im Namen der betroffenen Nutzer zu posten. Kreditkartendaten oder andere Informationen seien ebenfalls nicht abgeflossen, sagte Facebook nach Angaben von Ars Technica.

Stellenmarkt
  1. Hannover Rück SE, Hannover
  2. Schwarz Zentrale Dienste KG, Heilbronn

Allerdings hätten die Angreifer in großem Stil Profil-Informationen wie Name, Geschlecht und Wohnort abgerufen. Dadurch sei die Attacke auch aufgefallen. Bisher habe Facebook keinen bestimmten Fokus auf bestimmte Regionen oder Nutzergruppen feststellen können.

Urheber völlig unklar

"Wir wissen nicht, wer hinter dieser Attacke steckt", sagte Gründer und Chef Mark Zuckerberg in einer eilig einberufenen Telefonkonferenz. Man werde das möglicherweise auch nie erfahren, fügte Produktchef Rosen hinzu. Die Attacke sei am Dienstag entdeckt und die Schwachstelle inzwischen geschlossen worden, hieß es. Man habe auch die US-Bundespolizei FBI eingeschaltet. Gemäß der neuen EU-Datenschutzgrundverordnung (DSGVO) seien zudem Behörden in Irland unterrichtet worden.

Die Angreifer hätten eine Sicherheitslücke in der "Anzeigen aus der Sicht von"-Funktion ausgenutzt, mit der Facebook-Mitglieder sich ihr Profil aus der Sicht anderer Nutzer anzeigen lassen können, erläuterte das Unternehmen. Die Schwachstelle sei im Juli 2017 durch eine Kombination aus drei Software-Fehlern im Zusammenhang mit dem Video-Upload-Tool entstanden, erläuterte Rosen. Zunächst einmal sei der Video-Uploader fälschlicherweise in der "Anzeigen aus der Sicht von"-Ansicht angezeigt worden. Für bestimmte Posts wie Geburtstagsgrüße, sei der Uploader aktiv gewesen.

Uploader generierte falsches Token

Der nächste Bug habe darin bestanden, dass der Uploader ein Single-Sign-on-Token generiert habe, was laut Rosen nicht zulässig war. Das eigentliche Problem war allerdings der dritte Bug: Der Uploader generierte nicht ein Token des Nutzers, sondern derjenigen Person, aus deren Sicht sich der Nutzer seine eigene Seite ansah. Die Hacker entdeckten nicht nur die Kombination der Bugs, sondern waren offenbar auch in der Lage, sie millionenfach auszunutzen.

Die Funktion mit der Anzeige des Profils aus anderen Perspektiven sei vorerst vorsichtshalber abgeschaltet worden, teilte Facebook weiter mit. Für weitere rund 40 Millionen Nutzer widerrief Facebook die Anmelde-Token, die mit der "Anzeigen aus der Sicht von"-Funktion genutzt worden waren.

Irische Datenschutzbehörde fordert Aufklärung

Die Attacke kommt zu einem extrem ungünstigen Zeitpunkt für das Online-Netzwerk, das noch mit den Auswirkungen des Datenskandals um Cambridge Analytica zu kämpfen hat. Zudem versucht Facebook gerade mit größten Anstrengungen, die Plattform vor den wichtigen Kongress-Wahlen in den USA im November abzusichern. Die Facebook-Aktie fiel nach der Mitteilung um drei Prozent.

Die zuständige irische Datenschutzbehörde DPC twitterte am Freitag: "Die DPC ist besorgt, dass dieser Datenvorfall am Dienstag entdeckt wurde und Millionen Nutzer betrifft. Derzeit ist Facebook nicht in der Lage, die Art des Vorfalls und die Risiken für die Nutzer zu klären. Wir drängen Facebook dazu, diese Fragen so schnell wie möglich zu klären."

Die Ende Mai 2018 in Kraft getretene DSGVO bietet den Aufsichtsbehörden die Möglichkeit, deutlich höhere Bußgelder als zuvor zu verhängen. Artikel 83, Nummer 4 der DSGVO sieht bei schweren Verstößen Geldbußen in Höhe von bis zu zehn Millionen Euro oder bis zu zwei Prozent des Jahresumsatzes vor, wenn ein Datenverarbeiter seine Pflichten verletzt hat. Bei schweren Verstößen sind sogar doppelt so hohe Bußgelder möglich.



Anzeige
Top-Angebote
  1. 519€
  2. (u. a. Canon EOS 2000D + Objektiv 18-55 mm für 299€ statt 394€ im Vergleich)
  3. ab 119,99€
  4. (heute u. a. JBL BAR Studio für 99€ statt 137,90€ im Vergleich)

gaym0r 01. Okt 2018 / Themenstart

Es wurden Namen und Geschlechterinfos abgerufen. Es wurden keine Passwörter oder...

Ach 01. Okt 2018 / Themenstart

Ein falsch verstandener Andy Warhol. Original: "In the future everybody will be world...

Tigtor 30. Sep 2018 / Themenstart

Vielleicht einfach noch einen Satz weiter lesen ..

mambokurt 30. Sep 2018 / Themenstart

Ich bezweifele jetzt einfach mal dass da ein unterirdischer Bunker unter der Fassade...

Niaxa 30. Sep 2018 / Themenstart

Ziemlich hirnverbrannte Aktion, aber der Hack war gut.

Kommentieren


Folgen Sie uns
       


Monster Hunter World vs Generations Ultimate Gameplay

Gameplay von den Spielen Monster Hunter World und Monster Hunter Generations Ultimate, das im Splittscreen verglichen wird.

Monster Hunter World vs Generations Ultimate Gameplay Video aufrufen
Life is Strange 2 im Test: Interaktiver Road-Movie-Mystery-Thriller
Life is Strange 2 im Test
Interaktiver Road-Movie-Mystery-Thriller

Keine heile Teenagerwelt mit Partys und Liebeskummer: Allein in den USA der Trump-Ära müssen zwei Brüder mit mexikanischen Wurzeln in Life is Strange 2 nach einem mysteriösen Unfall überleben. Das Adventure ist bewegend und spannend - trotz eines grundsätzlichen Problems.
Von Peter Steinlechner

  1. Adventure Leisure Suit Larry landet im 21. Jahrhundert

Kaufberatung: Der richtige smarte Lautsprecher
Kaufberatung
Der richtige smarte Lautsprecher

Der Markt für smarte Lautsprecher wird immer größer. Bei der Entscheidung für ein Gerät sind Kaufpreis und Klang wichtig, ebenso die Wahl für einen digitalen Assistenten: Alexa, Google Assistant oder Siri? Wir geben eine Übersicht.
Von Ingo Pakalski

  1. Amazon Alexa Echo Sub verhilft Echo-Lautsprechern zu mehr Bass
  2. Beosound 2 Bang & Olufsen bringt smarten Lautsprecher für 2.000 Euro
  3. Google und Amazon Markt für smarte Lautsprecher wächst weiter stark

Athlon 200GE im Test: Celeron und Pentium abgehängt
Athlon 200GE im Test
Celeron und Pentium abgehängt

Mit dem Athlon 200GE belebt AMD den alten CPU-Markennamen wieder: Der Chip gefällt durch seine Zen-Kerne und die integrierte Vega-Grafikeinheit, die Intel-Konkurrenz hat dem derzeit preislich wenig entgegenzusetzen.
Ein Test von Marc Sauter

  1. AMD Threadripper erhalten dynamischen NUMA-Modus
  2. HP Elitedesk 705 Workstation Edition Minitower mit AMD-CPU startet bei 680 Euro
  3. Ryzen 5 2600H und Ryzen 7 2800H 45-Watt-CPUs mit Vega-Grafik für Laptops sind da

    •  /