Facebook: Weitere Details zum Access-Token-Hack, auch weitere Dienste betroffen

Gestern gab Facebook Informationen über einen Hack heraus, der insgesamt rund 90 Millionen Nutzer betrifft. 40 Millionen davon allerdings nur als Vorsichtsmaßnahme, die Access-Tokens dieser Nutzer wurden zurückgesetzt. Bleiben immer noch rund 50 Millionen Nutzer, die direkt davon betroffen, Angreifer hatten wohl kompletten Zugriff auf deren Konten.

Facebook stand gestern noch am Anfang der Untersuchungen, teilt nun aber weitere Details mit. Demnach konnte mit den Access-Tokens nicht nur direkt auf das Facebook-Profil zugegriffen werden, sondern auch auf alle Dienste, für die man sich via Facebook angemeldet hat. Glück im Unglück allerdings: Man muss sein Passwort nicht ändern, denn das ist über die Access-Tokens nicht einsehbar. Heißt also auch, dass man relativ sicher ist, falls bisher kein Schaden durch den Zugriff entstanden ist, die Tokens können ja nicht mehr verwendet werden.

Wer also Instagram oder Oculus mit Facebook verbunden hat, muss das nun erneut machen, gleichzeitig bedeutet dies aber auch, dass die Angreifer eben Zugriff auch auf solche Dienste hatten. Der Login mit Facebook wir bei zahlreichen Diensten angeboten und eigentlich gilt ein solcher Login auch als sicher, da eben keine Passwörter weitergegeben werden. Doof dann nur, wenn die Tokens an sich abhanden kommen und es nicht bemerkt wird.

Technische Details zum Angriff hat Facebook mittlerweile auch veröffentlicht. Es war die Kombination mehrerer Bugs, die das Abgreifen der Tokens ermöglicht hat.