Unbe­kann­te Hacker haben sich über Sicher­heits­lücken Zugang zu bis zu 90 Mil­lio­nen Face­book-Kon­ten ver­schafft. Die Zahl könn­te aber weit­aus höher lie­gen, zudem sind auch ande­re Dien­ste, die den Face­book-Log­in nut­zen, poten­zi­ell davon betrof­fen.

Kaum ist der Daten­skan­dal um Cam­bridge Ana­ly­tics – auch dank der gebets­müh­len­ar­ti­gen Bes­se­rungs­ge­löb­nis­se und einer breit­ge­streu­ten Wer­be­kam­pa­gne sei­tens Face­book – für die Öffent­lich­keit wie­der in Ver­ges­sen­heit gera­ten, kommt nun schon der näch­ste Ham­mer. Wie jetzt bekannt wur­de, konn­ten Hacker sich über Sicher­heits­lücken unbe­rech­tigt Zugriff auf Mil­lio­nen von Nut­zer­kon­ten ver­schaf­fen. In einer ersten Reak­ti­on spricht der Kon­zern selbst von 50 Mil­lio­nen sicher und wei­te­ren etwa 40 Mil­lio­nen poten­zi­ell betrof­fe­nen Usern. Ange­sichts der Umstän­de des Angriffs und der der­zei­ti­gen Erkennt­nis­la­ge gehen Sicher­heits­ex­per­ten aller­dings davon aus, dass sich die­se Zahl noch deut­lich erhö­hen könn­te. Immer­hin weiß Face­book selbst noch nicht ein­mal, seit wann genau die Angrif­fe lau­fen.

Die­se erfolg­ten über drei zusam­men­hän­gen­de Schwach­stel­len, auf­grund derer sich die Hacker soge­nann­te »Access Tokens« für jeden gewünsch­ten Face­book-Account gene­rie­ren konn­ten. Im Nor­mal­fall die­nen die­se Datei­en dazu, berech­tig­ten Nut­zern nach einem erfolg­rei­chen Log­in künf­tig den direk­ten Zugang ohne neue Pass­wort­ein­ga­be zu ermög­li­chen. Somit konn­ten die Angrei­fer mit ihnen alle direkt ein­seh­ba­ren Nut­zer­da­ten wie Name und Wohn­ort eines Kon­tos ein­se­hen und haben die­se offen­bar auch kopiert. Inwie­weit das auch für Ele­men­te wie Zeit­lei­sten und Kon­ver­sa­tio­nen gilt, ist noch nicht bekannt. Theo­re­tisch hät­ten sie damit sogar Aktio­nen wie Postings durch­füh­ren kön­nen. Dafür sieht Face­book der­zeit aller­dings kei­ne Hin­wei­se und betont, dass immer­hin kei­ne kri­ti­schen Daten wie Kre­dit­kar­ten­num­mern abhan­den­ge­kom­men sei­en.

Wie Face­book wei­ter erklärt, haben sich die Lücken bereits vor über einem Jahr ein­ge­schli­chen, wur­den aber inzwi­schen geschlos­sen. Eine Ände­rung des Pass­worts sei nicht not­wen­dig, da die Lücke kei­ne Ände­run­gen der Pass­wör­ter zur Über­nah­me der Accounts erlaubt. Weil die betrof­fe­nen 90 Mil­lio­nen Tokens gelöscht wur­den, müs­sen sich die betrof­fe­nen Nut­zer bei ihrem näch­sten Besuch nun ein­fach auf allen ihren Gerä­ten jeweils ein­mal neu ein­log­gen. Inso­fern lässt sich für die Nut­zer auch leicht erken­nen, ob Face­book den eige­nen Account mög­li­cher­wei­se für betrof­fen hält.

Auf­ge­fal­len war das Pro­blem erst vor weni­gen Tagen, da Face­book selbst seit Mit­te Sep­tem­ber plötz­lich eine auf­fal­lend gro­ße Zahl unüb­li­cher Akti­vi­tä­ten auf vie­len Kon­ten regi­strier­te und dar­auf­hin Nach­for­schun­gen begon­nen hat­te. Ob die­ser Zeit­punkt aller­dings tat­säch­lich gleich­be­deu­tend mit dem Anfang der Angrif­fe ist, kann der­zeit noch nie­mand sagen. Mög­lich ist etwa auch, dass die Hacker ihre Akti­vi­tä­ten im letz­ten Monat ein­fach nur merk­lich aus­ge­wei­tet haben, oder dass die Hin­ter­tü­re in cyber­kri­mi­nel­len Krei­sen die Run­de gemacht hat und des­halb plötz­lich weit­aus häu­fi­ger aus­ge­nutzt wur­de.

Damit hät­ten die Hacker theo­re­tisch also sogar Zugang zu allen rund zwei Mil­li­ar­den Nut­zer­konn­ten bekom­men kön­nen. Doch damit nicht genug. Da der Face­book-Log­in inzwi­schen auch bei zahl­rei­chen ande­ren Dien­sten wie Insta­gram, Tin­der oder Spo­ti­fy genutzt wer­den kann, könn­ten die­se genau­so betrof­fen sein. Auch hier hät­ten sich die Angrei­fer zumin­dest die direkt hin­ter­leg­ten Account­da­ten kopie­ren kön­nen. Bis der gesam­te Scha­den offen­sicht­lich wird, könn­te es also eine Zeit dau­ern. Um genaue­res dazu her­aus­zu­fin­den, koope­riert Face­book bei sei­nen Ermitt­lun­gen unter ande­rem mit dem FBI.

Völ­lig unklar ist der­zeit noch, wer hin­ter den Angrif­fen steckt und was die Hacker mit den erbeu­te­ten Daten anfan­gen wol­len. Von einer geziel­ten Rache­ak­ti­on gegen Face­book über poli­tisch moti­vier­te Angrif­fe gegen Amts­trä­ger oder Erpres­sungs­ver­su­che bis hin zu Kopi­en der Nut­zer­sei­ten für diver­se Betrugs­ma­schen ist alles mög­lich. Sehr wahr­schein­lich ist auf jeden Fall, dass die Infor­ma­tio­nen in den näch­sten Mona­ten ver­stärkt bei Phis­hing-Attacken ein­ge­setzt wer­den, mit denen wei­te­re Zugangs­da­ten und Infor­ma­tio­nen erbeu­tet wer­den sol­len.