Facebook-Hacker haben auf personenbezogene Daten von 29 Millionen Konten zugegriffen

Facebook hat neue Erkenntnisse zum Sicherheitsproblem kommuniziert, welches das Social Network vor zwei Wochen ereilte. Man habe zwei Wochen rund um die Uhr daran gearbeitet, um herauszufinden, auf welche Informationen die Angreifer zugegriffen haben.

Wie bereits erwähnt, haben die Angreifer eine Schwachstelle im Code von Facebook ausgenutzt, die zwischen Juli 2017 und September 2018 bestand. Die Schwachstelle war das Ergebnis eines komplexen Zusammenspiels von drei verschiedenen Softwarefehlern und betraf „View As“, eine Funktion, die es den Nutzern ermöglicht, zu sehen, wie ihr eigenes Profil für jemand anderen aussieht.

Es erlaubte Angreifern, Facebook-Zugriffstoken zu stehlen, mit denen sie dann die Konten der Personen übernehmen konnten. Zugriffstoken sind das Äquivalent zu digitalen Schlüsseln, mit denen Personen bei Facebook angemeldet bleiben, so dass sie nicht bei jeder Nutzung der App ihr Passwort neu eingeben müssen, so Facebook.

Facebook teilt mit, dass weniger Menschen betroffen waren, als man ursprünglich dachte. Von den 50 Millionen Menschen, von denen man glaubte, dass sie betroffen waren, wurden etwa 30 Millionen tatsächlich ihre Token gestohlen. Ein schwacher Trost.

So ist es passiert:

Die Angreifer kontrollierten bereits eine Reihe von Konten, die mit Facebook-Freunden verbunden waren. Sie benutzten eine automatisierte Technik, um von Konto zu Konto zu wechseln, damit sie die Zugangs-Token dieser Freunde und für Freunde dieser Freunde usw. stehlen konnten, insgesamt etwa 400.000 Personen. Dabei lud diese Technik automatisch die Facebook-Profile dieser Konten und spiegelte wider, was diese 400.000 Menschen beim Betrachten ihrer eigenen Profile gesehen hätten. Dazu gehören Beiträge auf ihren eigenen Feeds, ihre Freundeslisten, Gruppen, in denen sie Mitglied sind und die Namen der letzten Messenger-Konversationen. Der Nachrichteninhalt war für die Angreifer bis auf eine Ausnahme nicht verfügbar: Wenn eine Person in dieser Gruppe ein Seitenadministrator war, dessen Seite eine Nachricht von jemandem auf Facebook erhalten hatte, war der Inhalt dieser Nachricht für die Angreifer verfügbar.

Die Angreifer nutzten einen Teil dieser 400.000 Freundeslisten, um Zugangs-Token für etwa 30 Millionen Menschen zu stehlen. Bei 15 Millionen Menschen griffen Angreifer auf zwei Arten von Informationen zu – Name und Kontaktdaten (Telefonnummer, E-Mail oder beides, je nachdem, was die Personen in ihren Profilen hatten).

Für 14 Millionen Menschen griffen die Angreifer auf die gleichen zwei Datensätze und andere Details zu, die sie in ihren Profilen hatten. Dazu gehörten Benutzername, Geschlecht, Lokal/Sprache, Beziehungsstatus, Religion, Heimatstadt, aktuelle Stadt, Geburtsdatum, Gerätetypen für den Zugriff auf Facebook, Bildung, Arbeit, die letzten 10 Orte, an denen sie eingecheckt oder markiert wurden, Website, Personen oder Seiten, denen sie folgen, und die letzten 15 Suchen. Für 1 Million Menschen hatten die Angreifer keinen Zugang zu Informationen.

Dieser Angriff umfasste nicht Messenger, Messenger Kids, Instagram, WhatsApp, Oculus, Workplace, Pages, Zahlungen, Anwendungen von Drittanbietern oder Werbe- oder Entwicklerkonten.

Facebook-Nutzer können durch den Besuch des Hilfecenters überprüfen, ob sie betroffen sind. In den kommenden Tagen wolle Facebook den 30 Millionen Betroffenen maßgeschneiderte Nachrichten zukommen lassen, um ihnen zu erklären, auf welche Informationen die Angreifer zugegriffen haben könnten, sowie Maßnahmen, die sie ergreifen können, um sich selbst zu schützen.

Die Untersuchungen gehen noch weiter, hier arbeitet Facebook mit dem FBI, der US Federal Trade Commission, der Irish Data Protection Commission und anderen Behörden zusammen.

Krass. Hier geht es nicht um ein Passwort, sondern um sehr persönliche Informationen, sofern man diese eingegeben hat. Das kann sicherlich viele Nutzer sehr lange verfolgen…

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

8 Kommentare

  1. Jetzt warte ich nur noch auf die Bekanntgabe von Facebook analog Google mit Google+, daß der Dienst Facebook per Ende August 2019 eingestellt wird. Das wäre konsequent!

    • Nicht „konsequent“, sondern „dumm & dämlich“ lol. Das Unternehmen macht einen jährlichen Umsatz von 41 Milliarden US-Dollar. Wer so ein erfolgreiches Unternehmen wegen ein „Skandälchen“ (aus Sicht des Unternehmens) einstampft, der sollte zum Mond verfrachtet werden.

      Google+ ist/war eine kleine erfolglose Klitsche im direkten Vergleich zu Facebook, auch wenn Google+ eine „kleine“ treue Basis von aktiven Usern hatte.

      • Soso…. Facebook kommt aktuell auf 2 Mrd registrierte Benutzer. Google+ auf „läppische“ 3,3 Mrd….

        • @Chris:
          Wer hat behauptet dass Facebook mehr registrierte User hat als Google+ Ich habe lediglich geschrieben, dass Google+ im direkten Vergleich zu Facebook eine kleine Nummer ist/war. Wie bereits erwähnt, Facebook erzielt 41 Milliarden US-Dollar Umsatz (2017).

          Des weiteren verdient man nur mit aktiven User Geld, nicht mit inaktiven User.

          Aktive User: (monatlich):
          Google+ = 111 Millionen (Da gibt es aber mehrere Angaben/Werte)
          Facebook = 2,2 Milliarden User

          PS: Davon mal abgesehen solltest du auch wissen warum Google+ so viele registrierte User hat. Damals gab es eine Zwangsregistrierung bei Google+ wenn du ein Google-Account erstellt hast. Mittlerweile ist dies ja nicht mehr der Fall.

        • Chris, das ist doch Augenwischerei. Google+ hat nur eine handvoll aktive User, da muss ich Dennis zustimmen. Aus meinem persönlichen Umfeld kenne ich kaum Leute die dort aktiv unterwegs sind. Wenn überhaupt, dann sind sie dort registriert weil es damals Pflicht-Bestandteil war bei einem Google-Account.

        • Man kann facebook ohne Frage für wirklich sehr vieles kritisieren, aber den Vergleich den Du hier anstellst ist lächerlich. Google Plus war und ist ein Witz, ein trauriger Witz der von Anfang an schon bedeutungslos war, und nun konsequenterweise eingestellt wird. Nicht wegen einem Skandal, sondern weil das soziale Netzwerk schlicht und ergreifend nahezu niemand nutzt, und es damit völlig sinnfrei ist.

  2. Wer von der Schließung von FB redet redet von einem Wunschdenken der „ewig gestrigen“ aus dem Internet 1.0. Bisher ist die breite Masse an Usern nicht zu Alternative gewechselt und andere FB Apps wie Whatsapp & Insta sind KEINE ALTERNATIVE 😉 Also solange da keiner Steemit, Gab, Ello, Minds, VK oder was auch immer nutzt wird sich nichts aber auch gar nichts ändern

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.