Nach dem Cambridge-Analytica-Daten-GAU haben jetzt Hacker ungefähr 50 Millionen Facebook-Konten gehackt und persönliche Informationen der betroffenen Nutzer wie Name, Geschlecht und Wohnort abgerufen.
Dadurch soll die Attacke auch erst aufgefallen sein. Bisher hat Facebook angeblich keinen bestimmten Ziele wie beispielsweise bestimmte Regionen oder Nutzergruppen feststellen können.
Die Angreifer sollen dabei eine Sicherheitslücke in der “Anzeigen aus der Sicht von“-Funktion ausgenutzt, mit der sich Facebook-Mitglieder ihr Profil aus der Sicht anderer Nutzer anzeigen lassen können, spezifizierte das Unternehmen das Eingangstor der Hacker.
Durch drei Sicherheitslücken zum Daten-GAU
Diese Sicherheitslücke sei schon im Juli 2017 durch eine Kombination aus drei Softwarefehlern im Zusammenhang mit dem Video-Upload-Tool entstanden, erläuterte Produktchef Rosen. Dabei sei der Video-Uploader fehlerhafterweise in der “Anzeigen aus der Sicht von”-Ansicht gezeigt worden. Für bestimmte Posts wie beispielsweise Geburtstagsgrüße, sei der Uploader auch aktiv gewesen.
Der zweite Fehler habe darin bestanden, dass der Uploader ein Single-Sign-on-Token erzeugt habe, was laut Rosen auch nicht zulässig war.
Das größte Problem war aber der dritte Bug im Spiel: Der Uploader erzeugte nicht etwa ein Token des Nutzers, sondern eines derjenigen Person, aus deren Sicht sich der Nutzer seine eigene Seite ansah.
Die Schwachstellen waren also über ein Jahr im System, ohne dass die Software-Wartung sie bemerkte. Die Hacker fanden nicht nur die Kombination der Bugs heraus – sie waren offensichtlich auch in der Lage, diese Zugänge dann millionenfach auszunutzen.
Update 06.10.18:
DSGVO und der Facebook-Hack.
Viele Augen beobachten gerade gespannt wie sich der Fall weiter entwickelt. Die im Mai in Kraft getretene DSGVO regelt den Datenschutz für jedes Unternehmen, welches mit uns Europäern Geschäfte machen will – somit auch für das US Unternehmen facebook.
Dem geschuldet ist wohl auch die schnelle Reaktion von facebook auf den Diebstahl von 50 Millionen facebook Accounts. Am Donnerstag wurde die Sicherheitslücke behoben, am Freitag informiert. Seit wann genau die Lücke bekannt war, wissen wir nicht. Aber facebook war gezwungen akut betroffene Kunden binnen 3 Tagen zu informieren – und siehe da – facebook Nutzer bekamen einen Newsfeed.
Es drohen aber auch saftige Strafen von bis zu 4% des internationalem Umsatz (das wären 1,6 Millionen laut Zahlen von 2017) – oder 20 Millionen Euro – je nachdem was höher ist.. also letzteres. So die DSGVO Drohung.
