Special

Was steckt hinter dem Facebook-Hack

vor 6 Monaten - 3 Minuten Lesezeit Hörzeit
Facebook hat derzeit mit einer ganzen Reihe von Problemen zu kämpfen. Nach dem Bekanntwerden des umfangreichen Datenmissbrauchs durch Betreiber einer Facebook-App musste sich das soziale Netzwerk dem Weggang vieler Nutzer und der Befragung durch unterschiedliche Behörden stellen. Nun droht der nächste Skandal. Ein Fehler sorgte dafür, dass Angreifer potenziell Zugriff auf 90 Millionen Konten und verbundene Dienste hatten. Das Datenleck konnte nur durch das Zusammenspiel unterschiedlicher Bugs und Lücken entstehen. 

Anzeigen aus der Sicht von

Ist eigentlich eine Sicherheitsfunktion von Facebook. Diese erlaubt das Anschauen des eigenen Kontos aus der Sicht anderer Nutzer. Dadurch können die eigenen Privatsphäre-Einstellungen überprüft werden. Und hier liegt auch der Startpunkt für den Hack. Unbeabsichtigt war das Tool zum Hochladen von Videos in der »Anzeigen aus Sicht von«-Ansicht verfügbar. Dort generierte es ein sogenanntes Access-Token für die mobile App. Dieses galt allerdings nicht für den Nutzer, der sich das entsprechende Profil anschaut sondern für das Profil selbst.  Dadurch hatten sie potenziell Zugriff auf jedes einzelne Konto der Plattform. Das Problem dabei ist weniger, dass die Angreifer Zugriff hatten, sondern seit wann genau. 

Was ist ein Access-Token?

Ein Access-Token erspart die Eingabe der eigenen Account-Daten bei jedem Aufrufen von Facebook. Nach einer einmaligen Anmeldungen können sich Browser oder Facebook-App automatisch autorisieren. Im Token selbst sind keinerlei Nutzerdaten enthalten. Wird das Token deaktiviert und bei einer erneuten Anmeldung neu generiert, hat das alte Token keinerlei Nutzen mehr für einen potenziellen Angreifer. 

Unbegrenzter Zugriff?

Bei den Untersuchungen steht Facebook noch ganz am Anfang. Laut einem Blogbeitrag soll sich die Sicherheitslücke bereits im Juli 2017 bei Facebook eingeschlichen haben. In diesem Monat wurden technische Änderungen am Uploader vorgenommen, die wohl später die Generierung von Access-Tokens ermöglicht hatten. Prinzipiell bestand die Möglichkeit für entsprechende Angriffe also bereits seit einiger Zeit. Aufgefallen war das Problem erst Mitte September, da sich eine ungewöhnlich hohe Zahl von Accounts zur gleichen Zeit bei Facebook einloggen wollte. Nach derzeitigem Wissensstand ist noch nicht klar, ob vorher bereits Zugriffe erfolgt sind und wer hinter dem Hack steckt. Allerdings gibt es schon einen groben Überblick der betroffenen Nutzer- und Nutzerdaten. 

Welche Daten konnten die Angreifer sehen?

Prinzipiell hatten die Angreifer Zugriff auf Daten wie Name, Geburtsdatum und Wohnort. Derzeit prüft Facebook noch, ob auch private Nachrichten erbeutet worden sind. Daneben sind außerdem alle Dienste betroffen, die das Anmelden über Facebook ermöglichen. Angreifer hatten dadurch beispielsweise auch Zugriff auf verbundene Spotify- und Tinder-Konten. Der Schaden ist angerichtet, Nutzer müssen allerdings nichts tun, um ihr Konto abzusichern. Facebook hat entsprechende Maßnahmen bereits ergriffen. Auch das Ändern des Passworts ist nicht nötig, da diese Informationen für die Angreifer nicht einsehbar waren. 

Ausgeloggt

Facebook hat die betroffenen Konten identifiziert und abgemeldet. Dadurch wird das aktuell verwendete Token ungültig gemacht und ein erneutes einloggen ist nur durch die Eingabe von E-Mail-Adresse und Passwort möglich. Außerdem erhalten die Nutzer eine Nachricht im Newsfeed, die sie darauf hinweist, was passiert ist. Den meisten europäischen Nutzern dürfte dies allerdings nicht passieren. Informationen der irischen Datenschutzbehörde zufolge sollen nur zehn Prozent der 50 Millionen betroffenen Accounts aus der EU stammen. 
Marvin Sommershof Marvin Sommershof Marvin ist Redakteur bei Digital gefesselt. Daneben studiert er Technikjournalismus. Er interessiert sich für Gadgets, Tools und Games. Er twittert als @Marv1992
Auch spannend:

Die wichtigsten Web-, App- und Digital-Trends
für deine Kaffeepause.

Manuell zusammengefasst und kommentiert, jeden Morgen um 10 Uhr.

Mit der Anmeldung akzeptieren Sie die Datenschutzbestimmungen und abonnieren den Newsletter von Digital gefesselt. Die Abmeldung vom Newsletter ist jederzeit möglich.

Wie oft?