Facebook: Nächster Daten-Supergau
Unbekannte Hacker haben sich über Sicherheitslücken Zugang zu bis zu 90 Millionen Facebook-Konten verschafft. Die Zahl könnte aber weitaus höher liegen, zudem sind auch andere Dienste, die den Facebook-Login nutzen, potenziell davon betroffen.
Kaum ist der Datenskandal um Cambridge Analytics – auch dank der gebetsmühlenartigen Besserungsgelöbnisse und einer breitgestreuten Werbekampagne seitens Facebook – für die Öffentlichkeit wieder in Vergessenheit geraten, kommt nun schon der nächste Hammer. Wie jetzt bekannt wurde, konnten Hacker sich über Sicherheitslücken unberechtigt Zugriff auf Millionen von Nutzerkonten verschaffen. In einer ersten Reaktion spricht der Konzern selbst von 50 Millionen sicher und weiteren etwa 40 Millionen potenziell betroffenen Usern. Angesichts der Umstände des Angriffs und der derzeitigen Erkenntnislage gehen Sicherheitsexperten allerdings davon aus, dass sich diese Zahl noch deutlich erhöhen könnte. Immerhin weiß Facebook selbst noch nicht einmal, seit wann genau die Angriffe laufen.
Diese erfolgten über drei zusammenhängende Schwachstellen, aufgrund derer sich die Hacker sogenannte »Access Tokens« für jeden gewünschten Facebook-Account generieren konnten. Im Normalfall dienen diese Dateien dazu, berechtigten Nutzern nach einem erfolgreichen Login künftig den direkten Zugang ohne neue Passworteingabe zu ermöglichen. Somit konnten die Angreifer mit ihnen alle direkt einsehbaren Nutzerdaten wie Name und Wohnort eines Kontos einsehen und haben diese offenbar auch kopiert. Inwieweit das auch für Elemente wie Zeitleisten und Konversationen gilt, ist noch nicht bekannt. Theoretisch hätten sie damit sogar Aktionen wie Postings durchführen können. Dafür sieht Facebook derzeit allerdings keine Hinweise und betont, dass immerhin keine kritischen Daten wie Kreditkartennummern abhandengekommen seien.
Wie Facebook weiter erklärt, haben sich die Lücken bereits vor über einem Jahr eingeschlichen, wurden aber inzwischen geschlossen. Eine Änderung des Passworts sei nicht notwendig, da die Lücke keine Änderungen der Passwörter zur Übernahme der Accounts erlaubt. Weil die betroffenen 90 Millionen Tokens gelöscht wurden, müssen sich die betroffenen Nutzer bei ihrem nächsten Besuch nun einfach auf allen ihren Geräten jeweils einmal neu einloggen. Insofern lässt sich für die Nutzer auch leicht erkennen, ob Facebook den eigenen Account möglicherweise für betroffen hält.
Aufgefallen war das Problem erst vor wenigen Tagen, da Facebook selbst seit Mitte September plötzlich eine auffallend große Zahl unüblicher Aktivitäten auf vielen Konten registrierte und daraufhin Nachforschungen begonnen hatte. Ob dieser Zeitpunkt allerdings tatsächlich gleichbedeutend mit dem Anfang der Angriffe ist, kann derzeit noch niemand sagen. Möglich ist etwa auch, dass die Hacker ihre Aktivitäten im letzten Monat einfach nur merklich ausgeweitet haben, oder dass die Hintertüre in cyberkriminellen Kreisen die Runde gemacht hat und deshalb plötzlich weitaus häufiger ausgenutzt wurde.
Damit hätten die Hacker theoretisch also sogar Zugang zu allen rund zwei Milliarden Nutzerkonnten bekommen können. Doch damit nicht genug. Da der Facebook-Login inzwischen auch bei zahlreichen anderen Diensten wie Instagram, Tinder oder Spotify genutzt werden kann, könnten diese genauso betroffen sein. Auch hier hätten sich die Angreifer zumindest die direkt hinterlegten Accountdaten kopieren können. Bis der gesamte Schaden offensichtlich wird, könnte es also eine Zeit dauern. Um genaueres dazu herauszufinden, kooperiert Facebook bei seinen Ermittlungen unter anderem mit dem FBI.
Völlig unklar ist derzeit noch, wer hinter den Angriffen steckt und was die Hacker mit den erbeuteten Daten anfangen wollen. Von einer gezielten Racheaktion gegen Facebook über politisch motivierte Angriffe gegen Amtsträger oder Erpressungsversuche bis hin zu Kopien der Nutzerseiten für diverse Betrugsmaschen ist alles möglich. Sehr wahrscheinlich ist auf jeden Fall, dass die Informationen in den nächsten Monaten verstärkt bei Phishing-Attacken eingesetzt werden, mit denen weitere Zugangsdaten und Informationen erbeutet werden sollen.