50 Millionen Accounts kompromittiert – unklar, wer dahinter steckt – Hacker hatten auch Zugriff auf Drittanbieter-Apps mit Facebook-Login

Intensive Facebook-Nutzer kennen den hinter drei Punkten auf der Facebook-Startseite verborgenen Link, der zur Ansicht "Anzeigen aus der Sicht von" führt. Oder führen sollte: Wer am Freitagabend dorthin geklickt hat, landete auf einer Seite, die bekanntgab, dass die "Vorschau für mein Profil gesperrt" sei.

Laut Angaben des Social-Media-Konzerns soll es nämlich diese Funktion gewesen sein, die Hackern die Möglichkeit gegeben hat, fremde Accounts zu übernehmen. So seien die Hacker an einen sogenannten "Access Token" gekommen. Das ist eine Art Langzeitschlüssel, der auf einem Gerät gespeichert wird, damit sich der jeweilige Benutzer nicht jedes Mal mit seinem eigenen Passwort auf seinem Rechner einloggen muss. Hacker hatten so die Möglichkeit, auf Nutzerkonten zuzugreifen, also wäre es der eigene Account.

Doch nicht nur Facebook selbst ist betroffen, sondern jegliche Dienste von Drittanbietern, mit denen der Log-In über Facebook erfolgte. Bekannte Beispiele dafür sind etwa Instagram, der Musikstreamingdienst Spotify und die Dating-App Tinder. Letztere erlaubte es in ihren Anfängen gar nicht, sich auf andere Weise als über Facebook einzuloggen.

Am Dienstag entdeckt

Das wurde am Freitag bekanntgegeben. Betroffen sollen rund 50 Millionen Facebook-Accounts (von insgesamt rund zwei Milliarden) sein, von denen solche Token gestohlen worden wären. Weitere rund 40 Millionen Nutzer werden sich auf ihren Geräten neu anmelden müssen, allein schon weil sie die Funktion im vergangenen Jahr benutzt haben. Die Sicherheitslücke entstand im Juli 2017, als Facebook Änderungen an seinem Video-Upload-Feature vornahm.

Passwörter bei Spotify und Co ändern

Das weltgrößte Online-Netzwerk teilte mit, die Attacke sei bereits am Dienstag entdeckt und die Schwachstelle inzwischen geschlossen worden. Man habe auch die Behörden eingeschaltet. Unklar ist, wie weit ein Missbrauch der Daten stattgefunden hat und wer davon betroffen wäre. Jedoch betont das Unternehmen, dass zumindest Passwörter nicht kompromittiert wurden.

Somit sei es für Betroffene nicht notwendig, es auf dem sozialen Netzwerk zu ändern. Im Falle von Drittanbieter-Apps sei aber der Zugriff auf Daten gänzlich gesperrt worden, weswegen etwa bei Spotify wohl um eine Änderung des Kennworts gebeten wird. Unklar ist nämlich, wie lange diese Access Tokens noch gültig sind.

Stellungnahme von Mark Zuckerberg auf Facebook.

Unklar, wer dahintersteckt

Bisher gebe es keine Hinweise darauf, dass durch die Lücke tatsächlich private Nachrichten der Nutzer abgerufen worden seien, sagte Facebook-Gründer und Chef Mark Zuckerberg in einer eilig einberufenen Telefonkonferenz – unklar sei auch, ob Konten missbraucht wurden, um gefälschte Nachrichten abzusetzen. Und noch etwas beunruhigt Zuckerberg: "Wir wissen nicht, wer hinter dieser Attacke steckt."

Drei Bugs

Der Zugriff auf die Accounts war aufgrund von drei Bugs möglich, die gemeinsam dafür sorgten, dass Hacker Access Tokens für fremde Konten erstellen konnten. So sieht die "Anzeigen als"-Funktion vor, dass Nutzer fremde Profile zwar betrachten, nicht aber selber Bearbeitungen durchführen können. Fälschlicherweise galt das aber nicht für ein Feature, das Usern erlaubt, ihren Freunden zum Geburtstag zu gratulieren. Dieses gab Nutzern die Möglichkeit, ein Video zu posten.

Facebooks Video-Upload-Feature war allerdings seit Juli 2017 fehlerhaft und ermöglichte es, Access Tokens zu erstellen, die einen Zugriff auf die mobile App des Unternehmens erlauben. Der dritte Bug sorgte dafür, dass dieses Access Token nicht für einen selbst, sondern für jenen Nutzer, den man in der "Anzeigen als"-Funktion betrachtet, erstellt wird.

Nicht der erste Skandal

Es ist nicht der erste Skandal, der Facebook 2018 erschüttert: In frischer Erinnerung ist der Datenmissbrauch durch die inzwischen insolvente Firma Cambridge Analytica – dieses Unternehmen hatte sich Zugang zu Millionen Facebook-Profilen verschafft, um sie für das sogenannte Micro-Targeting zu nutzen, die gezielte Ansprache der nichtsahnenden Personen im amerikanischen Wahlkampf. Davon dürften rund 87 Millionen Nutzer betroffen gewesen sein.

Facebook erklärt die Sicherheitslücke.

Börse reagiert unerfreut

Im laufenden Wahlkampf für die Midterm-Elections in den USA versucht Facebook, sich und seine Nutzer gegen ähnliche unerlaubte Eingriffe zu schützen.

Dass ihm das nicht geglaubt wird, hat die Wall Street am Freitag gezeigt: Die Aktie gab unmittelbar nach Bekanntwerden der neuen Sicherheitslücke deutlich nach, gegen Börsenschluss war sie mehr als zweieinhalb Prozent im Minus.

In einem Posting schrieb Zuckerberg: "Wir sind ständig mit Angriffen von Leuten konfrontiert, die versuchen, fremde Accounts zu übernehmen oder Informationen irgendwo auf der Welt zu stehlen. Obwohl ich froh bin, dass wir diese Lücke gefunden und geschlossen haben, müssen wir ständig danach trachten, neue Tools zu entwickeln, um solche Vorkommnisse von vornherein zu verhindern." (Conrad Seidl, Muzayen Al-Youssef, 29.9.2018)