Facebook: Fast 50 Millionen Konten von Hackerangriff betroffen
Das soziale Netzwerk Facebook muss sich erneut wegen einer Sicherheitslücke rechtfertigen, die nach eigenen Angaben fast 50 Millionen Nutzer betrifft. Mittlerweile sei die Lücke geschlossen und Strafverfolgungsbehörden eingeschaltet worden. Ob und wie auf Daten der betroffenen Konten zugegriffen wurde, sei noch unklar.
Fehler im Code existierte über ein Jahr
Unbekannte haben sich Zugriff auf bis zu 50 Millionen Nutzerkonten verschafft, wie Facebook am heutigen Freitag in einer Pressemitteilung bekannt gab. Demnach sei die Lücke am Dienstag, dem 25. September 2018, entdeckt und anschließend schnellstmöglich geschlossen worden. Bereits im Juli 2017 hätten Änderungen im Code der Website dazu geführt, dass Dritte fremde Konten vollständig übernehmen konnten. Wie lange und umfangreich der Fehler ausgenutzt wurde, sei indes noch nicht bekannt; die firmeninternen Untersuchungen befänden sich noch in einem frühen Stadium. Auch zur Identität der mutmaßlichen Hacker gebe es bisweilen keine Hinweise.
Die Angreifer hätten eine komplexe Sicherheitslücke in einer Funktion ausgenutzt, mit der Nutzer ihr eigenes Profil in der Perspektive Dritter anzeigen lassen können. Eine Schwachstelle im Code erlaubte es ihnen demnach, Zugangstokens zu übernehmen. Dabei handelt es sich um digitale Langzeitschlüssel, die auf Geräten gespeichert werden und ein erneutes Anmelden zugunsten des Komforts erübrigen. Da diese Tokens somit als Ersatz für das eigentliche Passwort genutzt werden, erlangten die Angreifer vollen Zugriff auf die Nutzerkonten.
Tatsächlicher Umfang des Angriffs ist unbekannt
Nahezu 50 Millionen solcher Tokens wurden gestohlen, wie viele Konten aber dadurch tatsächlich eingesehen wurden, ist nicht bekannt. Auch der Umfang potentiell gestohlener Daten sei nicht bekannt, laut eigenen Angaben des Unternehmens seien die privaten Nachrichten der Kunden nicht abgerufen worden. Sicherheitshalber seien sämtlichen betroffenen und weiteren 40 Millionen Nutzern neue Schlüssel zugeordnet worden. Das macht sich für diese nicht nur dadurch bemerkbar, dass sie sich beim nächsten Aufrufen der App oder Website neu anmelden müssen, sie erhalten zudem eine Benachrichtigung im News-Feed, der den Vorgang erläutert.
Darüber hinaus wurde die beschriebene Funktion zur Anzeige des Profils aus anderen Perspektiven vorerst deaktiviert und eine Prüfung weiterer Konten initiiert. Passwortänderungen seitens der Nutzer seien hingegen nicht notwendig, versichert Facebook. Des Weiteren entschuldigt sich das Unternehmen in einer Stellungnahme und versichert obligatorisch, dass Privatsphäre und Sicherheit der Kunden oberste Priorität hätten.
People’s privacy and security is incredibly important, and we’re sorry this happened. It’s why we’ve taken immediate action to secure these accounts and let users know what happened. There’s no need for anyone to change their passwords. But people who are having trouble logging back into Facebook — for example because they’ve forgotten their password — should visit our Help Center.
Facebook
Wie die irische Datenschutzkommission mitteilt, sollen weniger als 10 Prozent der vom Hack betroffenen Nutzer Bürger der EU sein. Das hätte der Konzern, dessen europäischer Hauptsitz in Irland liegt, bekanntgegeben und gleichzeitig mehr Details für die nahe Zukunft in Aussicht gestellt.