+43 699 / 18199463
office@itexperst.at
Facebook: wir sind gehackt worden! Bitte neu anmelden

Facebook: wir sind gehackt worden! Bitte neu anmelden

Facebook musste in der zweiten Septemberhälfte 90 Millionen Nutzer Zwangsausloggen, um einen Missbrauch durch unbekannte Hacker vorzubeugen. Marc Zuckerberg und sein Team arbeiteten unter Hochdruck, um die drei zusammenhängenden Sicherheitslücken zu flicken.

Was war passiert? Am 16. September fielen den IT-Ingenieren ungewöhnlich hohe Anmeldezahlen auf. Am 25. September entdeckten sie dann den Grund hierfür. Guy Rosen, Vizepräsident für Produktmanagement bei Facebook, erklärte drei Tage später in einem Statement, was geschehen war. Facebooks Code war wohl fehlerhaft gewesen, was sich auf die Funktion „View As“ auswirkte. Dort konnten Zugangstoken abgegriffen werden, die Zugang auf die jeweiligen Nutzerdaten ermöglichten. Diese digitalen Schlüssel werden benötigt, um die Log-in-Daten zu merken, wenn sich Nutzer bei Facebook nicht jedes mal neu anmelden möchten. Sie werden auch genutzt für die Anmeldung in anderen Diensten über Facebook.

Rosen erklärte, dass der Auslöser für diese Fehler im Code offensichtlich ein Update vom Juli 2017 war, das die Funktion zum Hochladen von Videos betraf. Hacker arbeiten intensiv daran, um Fehler in Webanwendungen zu finden und solche Schwachstellen aufspüren! Mit einem gestohlenen Zugangstoken konnten dann andere Token für andere Nutzerkonten abgegriffen werden. Man habe die Funktion sofort repariert und abgestellt und die Behörden über den Vorfall informiert, bestätigte Rosen.

Zugangstoken entsprechen digitalen Schlüsseln, mit denen sich Personen bei Facebook anmelden, sodass sie ihr Passwort nicht jedes Mal neu eingeben müssen, wenn sie die App verwenden. Rosen und sein Team konnten definitiv 50 Mio. betroffene Nutzerkonten ausmachen, der Anmeldedaten sie zurücksetzten. Sicherheitshalber hätte man noch weitere 40 Mio. Konten zurückgesetzt, von denen man wusste, dass sie im letzten Jahr die betroffene Funktion genutzt hatten. Zusätzlich gab er den Facebook-Nutzern noch ein paar gute Tipps auf den Weg. Wer von den 90 Mio. ausgesperrten Nutzern sein Statement bis dahin nicht gelesen hatte, erfuhr erst nach der obligatorischen Neuanmeldung im Facebook Newsfeed, was passiert war.

Drei Fehler im Code von Facebook

Pedro Canahuati, Facebooks Vizepräsident für Technik, Sicherheit und Datenschutz ging in einem weiteren Statement dann näher auf technische Details zum Sicherheitsvorfall ein. Demnach hätten drei verschiedene Fehler zusammen gespielt, um die Facebook-Zugriffstoken in HTML für Benutzerkonten offenzulegen.

Erstens, so Canahuati, sei „View As eine Datenschutzfunktion, mit der Nutzer sehen könnten, wie ihr eigenes Profil aus Sicht Anderer aussieht. Sie sollte jedoch eine reine Ansichtsschnittstelle sein. Für einen Erstelltyp (die Box, mit der man Inhalte auf Facebook posten kann) – insbesondere die Version, die es den Leuten ermöglicht, ihren Freunden Geburtstagswünsche zu senden – bot View As fälschlicherweise die Möglichkeit an, ein Video zu posten.“

Zweitens generierte das Update des Video-Uploaders aus 2017 Zugrifftokens, was es eigentlich nicht tun sollte. Zudem hatten die Tokens die gleichen Zugriffsrechte wie die mobile App Facebooks.

Drittens, wenn der Video-Uploader als Teil von „View As“ angezeigt wurde, wurde das Zugriffstoken nicht für den eigentlichen Nutzer generiert, sondern für den Nutzer, an den die Mitteilung später gesendet werden sollte. Dummerweise war der Zugriffstoken dann im HTML der Seite verfügbar. Dies haben die Angreifer herausgefunden und mittels Automatisierung vielfach ausgenutzt, um sich als andere Nutzer anzumelden. Das konnten sie dann beliebig oft wiederholen und benötigten dafür nicht einmal die eigentlichen Facebook-Passwörter. So entdeckten die Facebook-Ingenieure dann die deutlich erhöhte Anzahl der Anmeldungen.

Außerdem hatte der Vorfall Auswirkungen auf das sogenannte „Single Sign-On über Facebook“. Damit können Facebook-Nutzer sich bei anderen Internetseiten anmelden, (Google, Twitter und vielen andere Dienste bieten diese Funktion ebenfalls an), anstatt sich jedes Mal dafür anzumelden oder gar ein neues Nutzerprofil zu erstellen. Sollten die Hacker herausgefunden haben, wie sich dies ausnutzen ließe, würde es zu einem viel weiterreichenden Problem eskalieren. Um diesen Missbrauchsmöglichkeit sofort im Keim zu ersticken, setzten die Facebook-Ingenieure den Datenzugriff auf Drittanbieter-Apps sofort zurück. Ob die Hacker diese Möglichkeit überhaupt ausgenutzt haben seit Juli 2017, konnte nicht festgestellt werden. Generell kommen Zweifel an der Sicherheit dieser Single Sign-On Funktion auf.

Mark Zuckerbergs Konto selbst gehackt

Fürsprecher sagen, die Funktion sei insbesondere dann vorteilhaft, wenn sie Zugang zu Anbieterseiten ermöglicht, die nicht über so umfangreiche Sicherheitsmaßnahmen verfügten, wie die Branchenriesen bieten können. Brian Krebs von Krebs on Security, meinte es sei alarmierend, dass sich Nutzer auf Zehntausenden von Webseiten nur mit den Anmeldeinformationen ihres Facebook-Profils anmelden könnten.
Wie viele Facebook-Nutzer insgesamt betroffen waren und in welchem Umfang, steht noch nicht fest. Feststellen ließ sich jedoch, dass die Konten der beiden Facebook Topmanager Mark Zuckerberg und Sherly Sandberg tatsächlich gehackt worden sind. Für alle anderen Nutzer, die nicht zwangsabgemeldet wurden, es aber vorziehen ihre Zugangsdaten zu aktualisieren, bietet Facebook Hilfe an. Über eine Funktion können alle Apps oder Dienste angezeigt werden, die das jeweilige Nutzerkonto gerade zur Anmeldung nutzen. Eine Abmeldung ist damit auch möglich.

Kongress Abgeordnete rufen nach besserer Datenschutzpolitik

Was die Europäer seit Mai dieses Jahres mit der Einführung der DSGVO erreicht haben, bringt so manchen in Amerika ins Grübeln. Die vergleichsweise lasche US-Datenschutzpolitik führte in jüngster Vergangenheit zu einigen großen Skandalen mit weitreichenden politischen Auswirkungen, wie alle Welt inzwischen weiß. Senator Mark Warner, der zugleich auch stellvertretender Vorsitzender des Intelligence Committee des Senats ist, forderte dass der Kongress Schritte unternehmen muss, damit die Privatsphäre und Sicherheit der Nutzer sozialer Medien besser geschützt wird. Er sieht

„den aktuellen Vorfall als eine Erinnerung an die Gefahren, die entstehen, wenn eine kleine Anzahl von Unternehmen wie Facebook oder das Kreditbüro Equifax in der Lage sind, so viele persönliche Daten über einzelne Amerikaner ohne angemessene Sicherheitsmaßnahmen zu sammeln“.

Bekannt wurde auch, dass Facebook die für die Zweifaktor-Authentifizierung angegebenen Handynummern nutzte, um damit Werbung zu versenden.

Europäische Datenschutzbehörde ist aktiv

Die zuständige europäische Datenschutzbehörde in Irland war von Facebook umgehend informiert worden über die Sicherheitslücke und verlangt nun Details hierzu. Insbesondere, ob Facebook Nutzer in Europa betroffen waren. Die Behörde könnte Facebook mit einer empfindlichen Geldbuße belegen. Große Unternehmen mit risikoreicher Datenverarbeitung sind verpflichtet, die sogenannte Folgenabschätzung durchzuführen und „Privacy by Design“ Maßnahmen zu ergreifen. Gefahren für Nutzer sollen damit abgewendet oder minimiert werden. Die Datenschützer werden nun feststellen, ob diese Vorgaben von Facebook eingehalten wurden.

David Kennedy, Chef beim Cybersicherheitsunternehmen TrustedSec sagte zu diesem Vorfall:

„Es kann leicht gesagt werden, dass Sicherheitstests/Penetrationstests das hätten erfassen müssen. Aber tatsächlich sind diese Art von Sicherheitslücken extrem schwer ausfindig zu machen, da sie darauf angewiesen sind, die Website selbst dynamisch zu testen.“

Für gewöhnliche Facebook-Nutzer mutet diese Aussage etwas seltsam an, denn schließlich habe es die Hacker herausfinden können. Ein Tech-Riese wie Facebook muss das doch auch hinkriegen können!

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0

Security Update von Facebook , 28.09.2018
Artikel von wired.com, 28.09.2018: THE FACEBOOK SECURITY MELTDOWN EXPOSES WAY MORE SITES THAN FACEBOOK
Artikel von 28.09.2018: EVERYTHING WE KNOW ABOUT FACEBOOK’S MASSIVE SECURITY BREACH
Artikel von eweek.com, 01.10.2018: Facebook Data Breach Extended to Third-Party Applications
Artikel von krebsonsecurity.com, 28.09.2018: Facebook Security Bug Affects 90M Users
Artikel von heise.de, 29.09.2018: Facebook-Hack: Kombination aus mehreren Software-Lücken war schuld
Artikel von heise.de, 01.10.2018: DSGVO: Facebook droht nach massivem Hack Milliardenstrafe

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen