Facebook-Hack: Zugriff auf 50 Mio. Access-Token für Konten

Facebook hat gerade eine fette Sicherheitslücke eingestanden. Diese ermöglichte Hackern die Access-Token für um die 50 Millionen Konten abzuziehen und zu missbrauchen. Möglicherweise sind noch mehr Konten betroffen, Facebook hat 90 Millionen Konten zurückgesetzt. Zudem wollte ein White Hat-Hacker Sonntag das Facebook-Konto von Mark Zuckerberg löschen. Ob der angekündigte Hack des Kontos von Mark Zuckerberg damit zusammenhängt, ist unklar. Hier das, was bisher bekannt ist.

Das ist natürlich der krönende Abschluss einer Woche mit Negativ-Meldungen für Facebook. Die Tage hatte ich mich im Blog-Beitrag Neuer Ärger im Facebook-Universum an verschiedenen Geschichten abgearbeitet, da platzt die nächste Bombe.

Hacker wollte Sonntag Zucks Facebook-Konto löschen

Keine Ahnung, ob es mit der Sache zusammen hängt. Aber seit einigen Stunden geht die Meldung um (siehe hier), dass der taiwanesische Hacker Chang Chi-yuan Facebook gehackt habe. Er hatte angekündigt, dass er kommenden Sonntag das Facebook-Konto von Mark Zuckerberg löschen wolle. Sollte als Live-Übertragung stattfinden.

ZUCC'D or $7'D

Chang Chi-yuan ist ein selbst ernannter White Hat-Hacker der z.B. im LINE Security Bug Bounty Programm auftaucht. Nachdem das Ganze riesige internationale Aufmerksamkeit bekam, hat Chang Chi-yuan in diesem Post einen Rückzieher gemacht.

Facebook-Bug-Confirmation

Wenn ich den obigen Screenshot richtig interpretiere, gab es einen Kontakt zwischen dem Hacker und Facebook, in dem dessen Meldung bestätigt wurde. So viel als Vorbemerkung und Spekulation. Ob der Vorfall irgend etwas mit nachfolgender Sicherheitslücke zu tun hat, entzieht sich meiner Kenntnis.

Facebook gesteht Sicherheitslücke ein

Bei Facebook gibt es eine Schwachstelle. In einer Sicherheitsmeldung geht Guy Rosen, VP of Product Management bei Facebook auf das Sicherheitsproblem ein. Hier das Eingeständnis:

Am Nachmittag des Dienstag, den 25. September, entdeckte unser Ingenieurteam ein Sicherheitsproblem, das fast 50 Millionen Konten betraf. Wir nehmen das unglaublich ernst und wollten alle darüber informieren, was passiert ist und welche Sofortmaßnahmen wir ergriffen haben, um die Sicherheit der Menschen zu schützen.

Unsere Untersuchung befindet sich noch im Anfangsstadium. Aber es ist klar, dass Angreifer eine Schwachstelle im Code von Facebook ausgenutzt haben, die sich auf „View As“ ausgewirkt hat, eine Funktion, mit der man sehen kann, wie sein eigenes Profil für jemand anderen aussieht. So konnten sie [die Hacker] Facebook-Zugriffstoken stehlen, mit denen sie dann die Konten der Personen übernehmen konnten. Zugriffstoken sind das Äquivalent zu digitalen Schlüsseln, mit denen Personen bei Facebook angemeldet bleiben, so dass sie nicht bei jeder Nutzung der App ihr Passwort neu eingeben müssen.

Das ist quasi der GAU für ein soziales Netzwerk wie Facebook. Die Konten beliebiger Facebook-Nutzer konnten gehackt werden, wenn diese eine bestimmte Funktion genutzt hatten.

Durchgeführte Maßnahmen

Der Facebook-Manager zählt dann die Maßnahmen auf, die man ergriffen hat. 

  • Erste Maßnahme war das Schließen der Sicherheitslücke und das Informieren der Strafverfolgungsbehörden.
  • Facebook hat vorübergehend die Funktion „Anzeigen als“ deaktiviert, während eine gründliche Sicherheitsüberprüfung durchgeführt wird.
  • Dann wurden die Zugriffstoken der fast 50 Millionen Konten, die mit Sicherheit betroffen waren, zurückgesetzt.
  • Zur Sicherheit wurden vorsorglich die Zugriffstoken für weitere 40 Millionen Konten zurückgesetzt, die im letzten Jahr einer „View As“-Darstellung unterzogen wurden.

Infolgedessen müssen sich nun rund 90 Millionen Menschen wieder bei Facebook oder einer ihrer Apps, die Facebook Login verwenden, anmelden. Nachdem sie sich wieder eingeloggt haben, erhalten die Personen oben in ihrem News Feed eine Benachrichtigung, die ihnen erklärt, was passiert ist.

Die Schwachstelle erklärt

Facebook erklärt in seinem Post, dass dieser Angriff das komplexe Zusammenspiel mehrerer Probleme im Facebook-Code ausnutzte. Die Schwachstelle ist auf eine Änderung im Juli 2017 an der Video-Upload-Funktion zurückzuführen. Diese hat sich auf „View As“ (Anzeigen als) auswirkte. Die Angreifer mussten diese Schwachstelle nicht nur finden und nutzen, um ein Zugriffstoken zu erhalten, sie mussten dann von diesem Konto zu anderen Konten gehen, um weitere Token zu stehlen.

Vieles liegt weiter im Dunkeln

Aktuell schreibt Facebook, dass man gerade erst mit unserer Untersuchung begonnen habe. Daher muss man erst noch feststellen, ob diese [gehackten] Konten missbraucht wurden oder auf welche Informationen zugegriffen wurde.

Facebooks VP gibt auch zu: Wir wissen auch nicht, wer hinter diesen Angriffen steckt oder wo sie sich befinden. Momentan arbeiten deren Sicherheitsspezialisten daran, die Details zu verstehen. Man will den Beitrag aktualisieren, wenn mehr Informationen vorliegen und sich die Fakten ändern. Falls es mehr betroffene Konten gibt, werden deren Zugriffstoken sofort zurückgesetzt.

Das kommt natürlich gut: Zusammen mit der negativen Presse wegen der Datenskandale, von Cambridge Analytic bis hin zum Letzten durch Ausnutzung der Schattenprofile, braut sich da womöglich neues Unbill zusammen.

Ähnliche Artikel:
Steigender Vertrauensverlust in Facebook, Google & Co.
‘Höchststrafe’ für Facebook in England im Analytica-Skandal
Datenlecks Ende Juni 2018: Adidas, Facebook, Exactis
Forscher warnte bereits 2014 vor Facebook-Analytica-Skandal
Löchriges Datenschutzsieb: Die Facebook-Katastrophe
Facebook, die DSGVO und Benachrichtigungen
DSGVO? Und WhatsApp teilt Nutzerdaten mit Facebook
Android-Trojaner stiehlt Daten von Facebook, Skype & Co.
Firefox bringt Facebook-Container als Tracking-Blocker
Nachbeben im Facebook/Cambridge Analytica-Skandal
Neuer Ärger im Facebook-Universum

Dieser Beitrag wurde unter Facebook, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Facebook-Hack: Zugriff auf 50 Mio. Access-Token für Konten

  1. Christian59 sagt:

    „Wir nehmen das unglaublich ernst…“

    Tja, liebe Facebook-Verantwortlichen, ich glaube auch nicht,
    dass ihr noch irgend etwas ernst nehmen könnt!

    Christian

  2. Nina sagt:

    Unruhe auf dem Seniorenfriedhof.
    Ei der Daus.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert