Facebook: Weitere Details zum Access-Token-Hack, auch weitere Dienste betroffen


Gestern gab Facebook Informationen über einen Hack heraus, der insgesamt rund 90 Millionen Nutzer betrifft. 40 Millionen davon allerdings nur als Vorsichtsmaßnahme, die Access-Tokens dieser Nutzer wurden zurückgesetzt. Bleiben immer noch rund 50 Millionen Nutzer, die direkt davon betroffen, Angreifer hatten wohl kompletten Zugriff auf deren Konten.

Facebook stand gestern noch am Anfang der Untersuchungen, teilt nun aber weitere Details mit. Demnach konnte mit den Access-Tokens nicht nur direkt auf das Facebook-Profil zugegriffen werden, sondern auch auf alle Dienste, für die man sich via Facebook angemeldet hat. Glück im Unglück allerdings: Man muss sein Passwort nicht ändern, denn das ist über die Access-Tokens nicht einsehbar. Heißt also auch, dass man relativ sicher ist, falls bisher kein Schaden durch den Zugriff entstanden ist, die Tokens können ja nicht mehr verwendet werden.

Wer also Instagram oder Oculus mit Facebook verbunden hat, muss das nun erneut machen, gleichzeitig bedeutet dies aber auch, dass die Angreifer eben Zugriff auch auf solche Dienste hatten. Der Login mit Facebook wir bei zahlreichen Diensten angeboten und eigentlich gilt ein solcher Login auch als sicher, da eben keine Passwörter weitergegeben werden. Doof dann nur, wenn die Tokens an sich abhanden kommen und es nicht bemerkt wird.

Technische Details zum Angriff hat Facebook mittlerweile auch veröffentlicht. Es war die Kombination mehrerer Bugs, die das Abgreifen der Tokens ermöglicht hat.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

4 Kommentare

  1. Ich habe „View as“ mehrfach benutzt, aber meine Tokens sind noch gültig…
    Interessant ist, das ich vor einiger Zeit eine bisher unbenutzte Email Adresse eingetragen habe, die kurz darauf zugespammt wurde.

  2. Wie weit ist eigentlich Max Shrimp mit seiner Facebook/Google DSGVO Beschwerde?

  3. Ich habe gerade festgestellt, dass jemand anderes Musik mit meinem Spotify Account abgespielt hat als ich selbst Musik hören wollte.

    Die Musik wurde auf Chrome Web abgespielt. Ich habe dann in die zuletzt gespielten Lieder geschaut, und da waren diverse drin, die ich noch nie gehört habe. Jetzt bekomme ich doch ein blödes Gefühl.

  4. Und wo der Artikel hier aufhört, bitte jetzt und hier in die Tiefe gehen und nicht nur auf Facebook verweisen….. Vielen lieben Dank im Voraus für das Update des Artikels!
    MfG
    Thomas

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.