Facebook: 90 Millionen Nutzer von Sicherheitslücke betroffen
Der 25. September war kein guter Tag für Facebook. Oder besser für einige Nutzer von Facebook. Eine Sicherheitslücke wurde bei Facebook bekannt, die nun dafür sorgt, dass sich insgesamt rund 90 Millionen Nutzer neu bei Facebook einloggen müssen. Ein Fehler in der „View as“-Funktion sorgte für das mögliche Abgreifen von Access-Tokens. Die „View as“-Funktion erlaubt es, das eigene Profil aus Sicht eines anderen Nutzer zu betrachten.
Unklar ist, inwieweit dieser Fehler schädlich ausgenutzt wurde. Zugriff gab es wohl auf 50 Millionen Accounts. Als Reaktion hat Facebook die Access-Tokens für 50 Millionen Accounts zurückgesetzt. Und diese Maßnahme wurde auch bei 40 Millionen weiteren Accounts durchgeführt, die innerhalb des letzten Jahres Bestandteil einer „View as“-Betrachtung waren. Außerdem hat Facebook das „View as“-Feature erst einmal deaktiviert. Das soll aber temporär sein.
Facebook kann zum aktuellen Zeitpunkt noch nicht sagen, ob betroffene Accounts tatsächlich verwendet wurden, um Daten abzugreifen oder andere schädliche Aktionen durchzuführen. Ebenso ist Facebook nicht bekannt, wer hinter der Attacke steckt. Allerdings hat man die Attacke bereits zur Anzeige gebracht.
Nach dem Cambridge Analytica Skandal dieses Jahr ist das natürlich keine so gute Nachricht. Wobei hier die Schwere natürlich erst messbar ist, wenn man weiß, ob die Lücke auch tatsächlich ausgenutzt wurde. Man wird dazu von Facebook sicher noch etwas hören, aktuell steht das Social Network noch am Anfang seiner Untersuchungen.
Spannend ist auch, dass Facebook mindestens 1 Jahr lang speichert, dass man sein Profil als jemand anderes angesehen hat. Ein Feature, bei dem man eigentlich keine Spuren hinterlassen muss, dass man es genutzt hat.
Eigentlich der größere Skandal.
Du kannst getrost davon ausgehen, dass Facebook einfach alles speichert, was gespeichert werden kann, auch wenn es dir völlig sinnlos erscheint, dieses ewig aufbewahrt und verwendet, wie du es dir in deinen kühnsten Träumen nicht vorstellen kannst.
Kürzlich ist beispielsweise bekannt geworden, dass Facebook die Telefonnummern, die bei der Aktivierung der Zwei-Faktor-Autorisierung angegeben werden, indirekt nutzt, um die Auspielung von benutzerspezifischer Werbung zu steuern (um so auch Benutzer zu „finden“, die sich bei Facebook mit einer Zweitadresse angemeldet haben, um sicher zu sein…) . Das ist auch ungeheuerlich, die meisten Menschen würden wahrscheinlich erwarten, dass die Daten, die für 2FA verwendet werden, besonders geschützt sind – aber es geht eben und daher macht Facebook es.
Und es ist auch ungeheuerlich, dass die Werbekunden diese Möglichkeit nutzen.
@Peter:
Ich beziehe mich mal auf deinen ersten Absatz mit dem Thema „Alles wird gespeichert“. Ich sehe es ähnlich wie du, dennoch sollte jeder Mensch nach so vielen Jahren mittlerweile wissen, dass Unternehmen/Plattformen wie Facebook und Google absolute „Datenkraken“ sind. Wenn man das nicht will, dann meldet man sich doch nicht an, so einfach ist das. Eine Facebook-Mitgliedschaft ist keine Pflicht-Mitgliedschaft – so sehe ich das.
Also wenn ich mich da anmelde, dürfen die machen was die wollen. Dann bin ich selbst Schuld. Völlig unabhängig von Gesetzen und so. Seltsame Logik.
@sunworker:
Es wäre schön, wenn du liest was ich schreibe und diesen Text nicht NACH DEINEM Verständnis verdrehst. Mein Text bezieht bezog sich allgemein auf den ersten Absatz von Peters Kommentar, nicht auf die 2FA-Problematik. Dementsprechend beziehe ich mich auf den bekannten/legalen Datensammel-Wahnsinn von Facebook, den du mit den AGB bei der Registrierung akzeptierst. Ich rede nicht von irgendwelchen illegalen Praktiken oder möglichen Datenskandalen.
Als ob das so einfach wäre.
Freunde/Familie laden ihre Kontaktliste hoch, schon hat Fratzenbuch meine Telefonnummer.
Freunde/Familie laden Fotos hoch, schon hat Fratzenbuch mein Gesicht für biometrische Scans.
Usw.
Man fährt gut damit wenn man erst mal davon ausgeht, dass facebook wirklich absolut alles was an Daten anfällt speichert und auf allen möglichen Wegen verwertet.
Zum Thema: Erschreckend, dass ein Unternehmen mit diesen Kapazitäten und ganz sicher einer Menge an erfahrenen Programmierern es einfach nicht hin bekommt ihre Plattform sicher zu gestalten. Das ist in einem Maße peinlich, dass es jeder Beschreibung spottet.
Jetzt habe ich mir extra Popcorn geholt und hier ist nix los. 🙁
Na ja, wer Facebook nutzt, dem ist sowieso alles egal, so – nobody cares …
Diese Auffassung ist scheinbar doch recht verbreitet, das macht sie aber nicht weniger unsinnig.
Hahahahah genau mein Gedanke
made my day. 🙂
Ist doch egal. Diejenigen die da angemeldet sind, haben schon sowieso ihre Daten verkauft.
Der Autor sollte mal die Quelle checken und auch alle anderen Seiten im Internet. Es waren nicht 90 sondern nur 50 Millionen betroffene Nutzer. In der Headline und im Text ist das falsch.
90 Mio Benutzer sind schon insofern betroffen, als das sie sich neu einloggen müssen. Nach bisheriger Kenntnis ist die Sicherheitslücke aber nur bei 50 Mio Benutzern ausgenutzt worden. Genau so steht das auch oben im Artikel – 90 Mio Benutzer müssen sich neu einloggen.
@ChrisG: Typisch, für Headline-Leser 😉
Hättest du den Text./ Content gelesen, ja dann hättest du die Headline auch verstanden!
…und in ein paar Wochen werden sie bekannt geben, dass es wohl 250 mio waren, einen Monat danach dann die Zahl auf 500 mio korrigieren usw. Ist das „normale“ Vorgehen bei facebook
Echt? Facebook hat noch so viele Nutzer?
@Bob:
2.34 Milliarden User weltweit/insgesamt, davon sind 1.47 Milliarden User jeden Tag aktiv.
Antwort: Ja, Facebook hat noch so viele Nutzer!
Quelle?
Die Frage ist nur, wie viel Prozent davon (Spam)-Bots sind…
80 oder doch eher 90%?
Im Grunde allerdings…wayne.
@DAGEGEN:
Sind die offiziellen Zahlen vom Q2/2018. 80/90% Bots? Wäre schon schön, wenn man halbwegs realistisch bleibt.
Die Nutzer tun mir leid, die Hacker haben alle Daten der Nutzer erbeutet, ich will mir garnicht ausmahlen wieviele jetzt mit einer Spamwelle überzogen werden, oder sonnstwie betrogen werden. Bei 50 Millionen Nutzerdaten besteht eine sehr hohe Chance an sehr viel Geld zu kommen. Wenn nur jeder 10te um einen Dollar erleichtert wird, braucht der Hacker nie wieder zu arbeiten. Zum Glück ist der Facebook Hype komplett an mir vorbei gegangen.
Natürlich ist das für nicht schön für die Nutzer, aber es ist auch längst nicht so dramatisch, wie es überwiegend dargestellt wird. Es ist ja nicht so, dass Facebook der einzige Kandidat für solche „Datenskandale“ ist. Da gibt es noch ganz andere, durchaus auch welche, wo die Verantwortlichen mit den Daten *wirklich* Schaden anrichten können, das kriegen nur nicht so viele mit, weil das nicht ständig in der Öffentlichkeit breitgetreten wird.