Facebook-Hack: Daten von 30 Millionen Nutzern abgeflossen

Facebook hat weitere Einzelheiten zu den beim letzten Hack abgezogenen Benutzerdaten gegeben. Es sind zwar weniger Konten als ursprünglich gemeldet betroffen. Dafür wurden aber sensiblere Benutzerdaten abgerufen.


Anzeige

Zum Hintergrund

Bei Facebook hat es ja einen Hack gegeben, der Ende September 2018 bekannt wurde. Angreifer konnten über Schwachstellen persönliche Daten von Facebook-Nutzern abrufen. Ich hatte mehrfach im Blog berichtet (siehe Artikellinks am Beitragsende). Facebook vermutetet, dass mindestens 50 Millionen Facebook-Konten durch die Hacker zugreifbar waren und hat vorsorglich 90 Millionen Konten zurückgesetzt (siehe den Artikel Facebook-Hack: Zugriff auf 50 Mio. Access-Token für Konten).

Facebooks Verantwortliche schrieben seinerzeit, dass man den Vorfall noch untersuche und nicht genau sagen könne, was an Daten abgerufen wurde. Dass aber ein Hack stattgefunden hat, ist klar – denn dieser fiel auf, weil plötzlich ungewöhnlich viele Daten abgerufen werden. Und dann wurden mehrere Schwachstellen bei Facebooks Software entdeckt. Später konnte Facebook zumindest Entwarnung bezüglich Apps, die ein Facebook-Login verwenden, geben.

Nur 30 Millionen-Konten betroffen

Jetzt hat Facebook wohl einen genaueren Überblick, welches Daten abgeflossen sind. In dieser Meldung legt Facebook weitere Details zum Sicherheitsvorfall offen. Hier die Kernpunkte, die ich aus den Facebook-Informationen herausgezogen habe:

  • Wie bereits erwähnt, haben die Angreifer eine Schwachstelle im Code von Facebook ausgenutzt, die zwischen Juli 2017 und September 2018 bestand.
  • Die Schwachstelle war das Ergebnis eines komplexen Zusammenspiels von drei verschiedenen Softwarefehlern und betraf "View As", eine Funktion, die es den Nutzern ermöglicht, zu sehen, wie ihr eigenes Profil für jemand anderen aussieht.
  • Die Schwachstelle erlaubte Angreifern, Facebook-Zugriffstoken zu stehlen, mit denen sie dann die Konten der Personen übernehmen konnten.
  • Der Angriff wurde erkannt, weil es ab dem 14. September 2018 einen ungewöhnlichen Anstieg der Aktivitäten bei Facebook-Konten gab.
  • Am 25. September erkannte Facebook, dass es sich tatsächlich um einen Angriff auf das soziale Netzwerk handelte und die Sicherheitsspezialisten identifizierten die Schwachstelle.
  • Das Schließen der Schwachstelle dauerte zwei Tage, dann war der Angriff gestoppt und die betroffenen Konten wieder gesichert. Die Zugriffstoken dieser Konten wurden zurückgesetzt und die "View As"-Funktion ("Ansicht als") deaktiviert.

Dann legt Facebook die Details weiterer Untersuchungen zum Umfang der abgeflossenen Daten offen.

  • Von den 50 Millionen Konten, von denen Facebook glaubte, dass sie betroffen waren, wurden die Tokens bei etwa 30 Millionen tatsächlich gestohlen.
  • De Angreifer hatten wohl die Kontrolle über eine Reihe von Konten, die mit weiteren Facebook-Freunden verbunden waren.
  • Die Angreifer benutzten eine automatisierte Technik, um von Konto zu Konto zu wechseln, um die Zugangs-Token dieser Freunde und für Freunde dieser Freunde usw. zu stehlen. Das betraf dann insgesamt etwa 400.000 Personen.
  • Dort konnten nur Daten abgerufen werden, die die Kontenbesitzer beim Betrachten der eigenen Seiten gesehen hätten (die Zeitachse mit den Postings, die Freunde, Gruppenmitgliedschaften, die Namen der letzten Messenger-Konversationen etc.).
  • Bei Seitenadministratoren konnten auch die per Messenger erhaltenen Nachrichten gelesen werden.
  • Die Angreifer nutzten einen Teil dieser 400.000 Freundeslisten, um Zugangs-Token für etwa 30 Millionen Facebook-Konten zu stehlen.
  • Für 15 Millionen Menschen griffen Angreifer auf Name und Kontaktdaten (Telefonnummer, E-Mail oder beides, je nachdem, was die Personen in ihren Profilen hatten) zu.
  • Für 14 Millionen Facebook-Konten griffen die Angreifer neben Name und Kontaktdaten auf weitere Details zu. Dies umfasste Benutzername, Geschlecht, Lokal/Sprache, Beziehungsstatus, Religion, Heimatstadt, selbstberichtete aktuelle Stadt, Geburtsdatum, Gerätetypen für den Zugriff auf Facebook, Bildung, Arbeit, die letzten 10 Orte, an denen sie eingecheckt oder markiert wurden, Website, Personen oder Seiten, denen sie folgen, und die letzten 15 Suchen.

Lediglich für 1 Million Facebook-Konten bekamen die Angreifer keinen Zugang zu Informationen. Ob man betroffen ist, kann man auf dieser Facebook-Seite herausfinden – dazu ist eine Anmeldung bei Facebook erforderlich. Die Seite ist nur auf Englisch verfügbar. Scrollt man nach unten, sollte der nachfolgend gezeigte blaue Infoblock kommen.

Facebook-Meldung zur Betroffenheit

Dort wird der Hinweis, ob das Konto vom Hack betroffen ist, eingeblendet. Bei meinem Facebook-Konto wurde Entwarnung gegeben (ich hatte den 'View AS'-Modus auch nicht aufgerufen).

Ähnliche Artikel:
Neuer Ärger im Facebook-Universum
Facebook-Hack: Zugriff auf 50 Mio. Access-Token für Konten
Facebook-Hack & DSGVO: Wird es in Europa richtig teuer?
Facebook-Hack: Wohl kein Zugriff auf Drittanbieter-Apps
Datenschützer: Verfahren gegen Facebook eingestellt


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Facebook abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Facebook-Hack: Daten von 30 Millionen Nutzern abgeflossen

  1. Windoof-User sagt:

    Es gibt wichtigere IT-Meldungen (https://www.icann.org/resources/pages/ksk-rollover). Die Sicherheit der Daten von Prostituierten der asozialen Medien gehört sicherlich nicht dazu.

  2. Blupp sagt:

    FB-Hack, Datenpannen, G+ macht dicht. Es scheint für die Datenkraken nicht alles zum Besten zu stehen.

    Aktuell verzeichnet MeWe – mewe.com starken Zulauf, vor allem von G+ aber auch von FB. Es sieht aus wie eine Mischung aus Facebook, G+ und Twitter. Nur alles ohne Werbung und es wird versprochen das Daten nicht gesammelt werden.

    Was ist davon zu halten, sind die wirklich so Datenschutz freundlich, hat da jemand Infos?

Schreibe einen Kommentar zu Blupp Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.