Hackerangriff auf Facebook betrifft bis zu 90 Millionen Nutzer

Facebook hat einen massiven Hackerangriff eingeräumt. Bei dem Einbruch in das Netzwerk des Social Network wurden Access Tokens von bis zu 50 Millionen Nutzern kompromittiert. Weitere 40 Millionen Access Tokens wurden nach Unternehmensangaben als Vorsichtsmaßnahme zurückgesetzt. Ermöglicht wurde die Attacke laut ersten Untersuchungsergebnissen durch die Verknüpfung von drei inzwischen geschlossenen Sicherheitslücken.

Entdeckt wurde der Angriff am 25. September. Facebook ließ sich also rund drei Tage Zeit, um die Öffentlichkeit zu informieren. Die zuständige irische Datenschutzbehörde soll das Social Network bereits am Donnerstagabend in Kenntnis gesetzt haben, also offenbar innerhalb der 72-Stunden-Frist, die die EU-Datenschutzgrundverordnung vorsieht. Wie das Wall Street Journal berichtet, müssen weitere Untersuchungen zeigen, ob Facebook alle Auflagen der DSGVO erfüllt hat oder ob ein Bußgeld gegen das Unternehmen verhängt werden muss, das in dem Fall bis zu 1,4 Milliarden Euro betragen könnte.

Bei den gestohlenen Access Tokens handelt es sich um alphanumerische Codes, die bei jedem Anmeldevorgang generiert und im Browser des Nutzers sowie auf Facebooks Servern gespeichert werden. Bei einem erneuten Besuch der Facebook-Website ersetzt das Access Token die Eingabe der Anmeldedaten – der Nutzer wird also automatisch im Hintergrund wieder angemeldet. Von daher musste Facebook lediglich die besagten 90 Millionen Tokens widerrufen. Betroffene Nutzer müssen sich nun erneut bei Facebook anmelden und finden in ihrer Timeline einen Hinweis auf den Hackerangriff vor.

Bei einer Telefonkonferenz sowie in einem Update zu einer Pressemitteilung erläuterte Facebook auch die drei Schwachstellen, die den Angriff ermöglichten. Der erste Bug steckte in der Funktion „Anzeigen als“, die es einem Nutzer erlaubt, sich sein Profil aus der Sicht eines anderen Nutzers anzeigen zu lassen. Eigentlich soll „Anzeigen als“ nur Daten anzeigen. Es soll laut Facebook zuletzt allerdings auch möglich gewesen sein, über die Funktion Videos zu posten.

Den zweiten Fehler fanden die Entwickler im neuen Interface für das Hochladen von Videos. Es wurde im Juli 2017 eingeführt und generierte Access Tokens mit den Berechtigungen der mobilen App. Ein Video-Upload per „Anzeigen als“ generierte also ein voll funktionsfähiges Access Token. Der dritte Fehler führte schließlich dazu, dass dieses Access Token nicht im eigenen Namen, sondern im Namen des Nutzers generiert wurde, aus dessen Sicht man sich das eigene Profil anzeigen lies.

„Es war die Kombination aus diesen drei Bugs, die zu einer Schwachstelle wurde“, heißt es in der Pressemitteilung. „Der Video-Uploader generierte einen Access Token, obwohl er das nicht sollte.“ Der Token sei danach im HTML-Code der Seite sichtbar gewesen, was es den Angreifern erlaubt habe, den Token zu extrahieren und sich als ein anderer Nutzer bei Facebook anzumelden.

Aufmerksam wurde Facebook auf den Einbruch durch einen ungewöhnlichen Traffic-Anstieg, und zwar bereits am 16. September. Ab dann sollen die Hacker die Sicherheitslücken in großem Umfang ausgenutzt haben. Die Suche nach den Ursachen für den Traffic-Anstieg half den Facebook-Ingenieuren schließlich, den Einbruch aufzudecken.

Ob sich der Diebstahl der Access Tokens auf bestimmte Regionen oder Nutzergruppen konzentrierte, konnte Facebook nach eigenen Angaben bisher nicht ermitteln. Bei den bisherigen Untersuchungen seien keinerlei Muster entdeckt worden. Darüber hinaus wies Facebook darauf hin, dass sich betroffene Nutzer auch bei allen Diensten, die Facebook Login nutzen, neu anmelden müssen. Außerdem sollten Nutzer in der Facebook-App oder der Facebook-Website die Einstellungen zu „Sicherheit und Login“ aufrufen und dort die derzeit aktiven Anmeldungen überprüfen. Es sei auch möglich, sich pauschal von allen aktuellen Sitzungen abzumelden und damit alle von Facebook ausgegebenen Access Tokens ungültig zu machen.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

it-sa 2021: „Die richtigen Leute waren da“

Auch wenn die it-sa 2021 gegenüber der letzten Präsenzveranstaltung deutlich geschrumpft ist, zeigten sich die…

6 Stunden ago

Das sind die Hardware Top-Seller

Trotz des Chipmangels ist die Nachfrage nach Hardware ungebrochen, es gibt aber Befürchtungen, dass es…

7 Stunden ago

Datenstrategie mangelhaft

Der Weg von der Datenanarchie zur Datenstrategie ist lang und die deutschsprachigen Unternehmen haben noch…

23 Stunden ago

Europas Zukunft ist digital

Einen wirtschaftspolitischen Appell richtet Yann Lechelle, CEO von Scaleway, an die Europäische Union. Die EU…

23 Stunden ago

HP Presence: HP stellt Kollaborations- und Konferenzsysteme vor

Das Programm umfasst PCs, Audio- und Videobars sowie Raumsteuerungen. Ausgerichtet ist es auf große Meetingräume.…

1 Tag ago

Facebook legt Streit um Benachteiligung von US-Arbeitern bei

Inhaber von befristeten Visas erhielten Vorzug vor US-Arbeitskräften. Facebook zahlt unter anderem Entschädigungen und Geldstrafen…

1 Tag ago