Facebook: Weitere Details zum Access-Token-Hack, auch weitere Dienste betroffen


Gestern gab Facebook Informationen über einen Hack heraus, der insgesamt rund 90 Millionen Nutzer betrifft. 40 Millionen davon allerdings nur als Vorsichtsmaßnahme, die Access-Tokens dieser Nutzer wurden zurückgesetzt. Bleiben immer noch rund 50 Millionen Nutzer, die direkt davon betroffen, Angreifer hatten wohl kompletten Zugriff auf deren Konten.

Facebook stand gestern noch am Anfang der Untersuchungen, teilt nun aber weitere Details mit. Demnach konnte mit den Access-Tokens nicht nur direkt auf das Facebook-Profil zugegriffen werden, sondern auch auf alle Dienste, für die man sich via Facebook angemeldet hat. Glück im Unglück allerdings: Man muss sein Passwort nicht ändern, denn das ist über die Access-Tokens nicht einsehbar. Heißt also auch, dass man relativ sicher ist, falls bisher kein Schaden durch den Zugriff entstanden ist, die Tokens können ja nicht mehr verwendet werden.

Wer also Instagram oder Oculus mit Facebook verbunden hat, muss das nun erneut machen, gleichzeitig bedeutet dies aber auch, dass die Angreifer eben Zugriff auch auf solche Dienste hatten. Der Login mit Facebook wir bei zahlreichen Diensten angeboten und eigentlich gilt ein solcher Login auch als sicher, da eben keine Passwörter weitergegeben werden. Doof dann nur, wenn die Tokens an sich abhanden kommen und es nicht bemerkt wird.

Technische Details zum Angriff hat Facebook mittlerweile auch veröffentlicht. Es war die Kombination mehrerer Bugs, die das Abgreifen der Tokens ermöglicht hat.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

*Mitglied der Redaktion 2013 bis 2019*

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

4 Kommentare

  1. Ich habe „View as“ mehrfach benutzt, aber meine Tokens sind noch gültig…
    Interessant ist, das ich vor einiger Zeit eine bisher unbenutzte Email Adresse eingetragen habe, die kurz darauf zugespammt wurde.

  2. Wie weit ist eigentlich Max Shrimp mit seiner Facebook/Google DSGVO Beschwerde?

  3. Ich habe gerade festgestellt, dass jemand anderes Musik mit meinem Spotify Account abgespielt hat als ich selbst Musik hören wollte.

    Die Musik wurde auf Chrome Web abgespielt. Ich habe dann in die zuletzt gespielten Lieder geschaut, und da waren diverse drin, die ich noch nie gehört habe. Jetzt bekomme ich doch ein blödes Gefühl.

  4. Und wo der Artikel hier aufhört, bitte jetzt und hier in die Tiefe gehen und nicht nur auf Facebook verweisen….. Vielen lieben Dank im Voraus für das Update des Artikels!
    MfG
    Thomas

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.