Facebook-Hacker haben auf personenbezogene Daten von 29 Millionen Konten zugegriffen

Facebook hat neue Erkenntnisse zum Sicherheitsproblem kommuniziert, welches das Social Network vor zwei Wochen ereilte. Man habe zwei Wochen rund um die Uhr daran gearbeitet, um herauszufinden, auf welche Informationen die Angreifer zugegriffen haben.

Wie bereits erwähnt, haben die Angreifer eine Schwachstelle im Code von Facebook ausgenutzt, die zwischen Juli 2017 und September 2018 bestand. Die Schwachstelle war das Ergebnis eines komplexen Zusammenspiels von drei verschiedenen Softwarefehlern und betraf „View As“, eine Funktion, die es den Nutzern ermöglicht, zu sehen, wie ihr eigenes Profil für jemand anderen aussieht.

Es erlaubte Angreifern, Facebook-Zugriffstoken zu stehlen, mit denen sie dann die Konten der Personen übernehmen konnten. Zugriffstoken sind das Äquivalent zu digitalen Schlüsseln, mit denen Personen bei Facebook angemeldet bleiben, so dass sie nicht bei jeder Nutzung der App ihr Passwort neu eingeben müssen, so Facebook.

Facebook teilt mit, dass weniger Menschen betroffen waren, als man ursprünglich dachte. Von den 50 Millionen Menschen, von denen man glaubte, dass sie betroffen waren, wurden etwa 30 Millionen tatsächlich ihre Token gestohlen. Ein schwacher Trost.

So ist es passiert:

Die Angreifer kontrollierten bereits eine Reihe von Konten, die mit Facebook-Freunden verbunden waren. Sie benutzten eine automatisierte Technik, um von Konto zu Konto zu wechseln, damit sie die Zugangs-Token dieser Freunde und für Freunde dieser Freunde usw. stehlen konnten, insgesamt etwa 400.000 Personen. Dabei lud diese Technik automatisch die Facebook-Profile dieser Konten und spiegelte wider, was diese 400.000 Menschen beim Betrachten ihrer eigenen Profile gesehen hätten. Dazu gehören Beiträge auf ihren eigenen Feeds, ihre Freundeslisten, Gruppen, in denen sie Mitglied sind und die Namen der letzten Messenger-Konversationen. Der Nachrichteninhalt war für die Angreifer bis auf eine Ausnahme nicht verfügbar: Wenn eine Person in dieser Gruppe ein Seitenadministrator war, dessen Seite eine Nachricht von jemandem auf Facebook erhalten hatte, war der Inhalt dieser Nachricht für die Angreifer verfügbar.

Die Angreifer nutzten einen Teil dieser 400.000 Freundeslisten, um Zugangs-Token für etwa 30 Millionen Menschen zu stehlen. Bei 15 Millionen Menschen griffen Angreifer auf zwei Arten von Informationen zu – Name und Kontaktdaten (Telefonnummer, E-Mail oder beides, je nachdem, was die Personen in ihren Profilen hatten).

Für 14 Millionen Menschen griffen die Angreifer auf die gleichen zwei Datensätze und andere Details zu, die sie in ihren Profilen hatten. Dazu gehörten Benutzername, Geschlecht, Lokal/Sprache, Beziehungsstatus, Religion, Heimatstadt, aktuelle Stadt, Geburtsdatum, Gerätetypen für den Zugriff auf Facebook, Bildung, Arbeit, die letzten 10 Orte, an denen sie eingecheckt oder markiert wurden, Website, Personen oder Seiten, denen sie folgen, und die letzten 15 Suchen. Für 1 Million Menschen hatten die Angreifer keinen Zugang zu Informationen.

Dieser Angriff umfasste nicht Messenger, Messenger Kids, Instagram, WhatsApp, Oculus, Workplace, Pages, Zahlungen, Anwendungen von Drittanbietern oder Werbe- oder Entwicklerkonten.

Facebook-Nutzer können durch den Besuch des Hilfecenters überprüfen, ob sie betroffen sind. In den kommenden Tagen wolle Facebook den 30 Millionen Betroffenen maßgeschneiderte Nachrichten zukommen lassen, um ihnen zu erklären, auf welche Informationen die Angreifer zugegriffen haben könnten, sowie Maßnahmen, die sie ergreifen können, um sich selbst zu schützen.

Die Untersuchungen gehen noch weiter, hier arbeitet Facebook mit dem FBI, der US Federal Trade Commission, der Irish Data Protection Commission und anderen Behörden zusammen.

Krass. Hier geht es nicht um ein Passwort, sondern um sehr persönliche Informationen, sofern man diese eingegeben hat. Das kann sicherlich viele Nutzer sehr lange verfolgen…