Sicherheitslücke bei Facebook – was ihr jetzt tun musst!

50 Millionen Facebook-Nutzer sollen durch einen Programmierfehler gehackt worden sein. Knapp ein halbes Jahr ist nach dem Facebook-Datenskandal um Cambridge Analytica vergangen und nun stellt ein massiver Hacker-Angriff das Vertrauen der Facebook-Nutzer erneut auf die Probe.

Was ist passiert?
Wer ist betroffen?
Was bisher über das Datenleck bekannt ist, erfahrt ihr – durch die Mitteilung von Facebook im Security Update. 

Wir haben diese Mitteilung von Facebook für euch frei übersetzt. 

Sicherheitslücke bei Facebook - was ihr jetzt tun musst! 3
https://newsroom.fb.com/news/2018/09/security-update/

Am Dienstag, 25. September, entdeckte unser Technikerteam ein Sicherheitsproblem, das fast 50 Millionen Konten betraf. Wir nehmen das unglaublich ernst und wollten jeden wissen lassen, was passiert ist und wie wir sofort gehandelt haben, um die Sicherheit der Menschen zu gewährleisten.

Unsere Untersuchung befindet sich noch in einem frühen Stadium.

Aber es ist klar, dass Angreifer eine Sicherheitslücke in Facebooks Code ausnutzten, die sich auf „View As“ auswirkten, eine Funktion, mit der die Leute sehen können, wie ihr eigenes Profil für jemand anderen aussieht. Dies ermöglichte es ihnen, Facebook-Zugangstoken zu stehlen, mit denen sie dann die Konten von Leuten übernehmen konnten.

Zugangstoken entsprechen digitalen Schlüsseln, mit denen sich Personen bei Facebook anmelden, sodass sie ihr Passwort nicht jedes Mal neu eingeben müssen, wenn sie die App verwenden.

Was haben wir bereits unternommen (Facebook):

  • Zuerst haben wir die Schwachstelle behoben und die Strafverfolgungsbehörden informiert.
  • Zweitens haben wir die Zugriffstokens der fast 50 Millionen Konten zurückgesetzt, von denen wir wissen, dass sie betroffen waren, um ihre Sicherheit zu schützen.

Wir ergreifen außerdem den Vorsorgeschutz, um Zugriffstokens für weitere 40 Millionen Konten zurückzusetzen, für die im letzten Jahr eine Abfrage „Anzeigen als“ durchgeführt wurde.

In der Folge müssen sich rund 90 Millionen Menschen bei Facebook oder einer ihrer Apps mit Facebook-Login anmelden. Nachdem sie sich wieder eingeloggt haben, erhalten die Benutzer eine Benachrichtigung oben in ihrem News-Feed, in der sie erklären, was passiert ist.

  • Drittens deaktivieren wir vorübergehend die Funktion „Anzeigen als“, während wir eine gründliche Sicherheitsüberprüfung durchführen.

Dieser Angriff nutzte die komplexe Interaktion mehrerer Probleme in unserem Code. Da wir unsere Untersuchung gerade erst begonnen haben, müssen wir noch feststellen, ob diese Konten missbraucht wurden oder auf welche Informationen zugegriffen wurde. Wir wissen auch nicht, wer hinter diesen Angriffen steckt oder wo sie angesiedelt sind. Wir arbeiten hart daran, diese Details besser zu verstehen – und wir werden diesen Beitrag aktualisieren, wenn wir mehr Informationen haben oder wenn sich die Fakten ändern.

  • Wenn wir weitere betroffene Konten finden, setzen wir ihre Zugangstokens sofort zurück.

Die Privatsphäre und Sicherheit der Menschen ist unglaublich wichtig, und es tut uns leid, dass dies passiert ist.

Aus diesem Grund haben wir sofort Maßnahmen ergriffen, um diese Konten zu sichern und die Nutzer wissen zu lassen, was passiert ist.

Es ist nicht nötig, dass jemand sein Passwort ändert. Aber Leute, die Schwierigkeiten haben, sich wieder bei Facebook anzumelden – zum Beispiel, weil sie ihr Passwort vergessen haben – sollten uns um Hilfe bitten. Und wenn jemand sich als Vorsichtsmaßnahme vom Facebook-Konto abmelden möchte, sollte er den Abschnitt „Sicherheit und Anmeldung“ unter Einstellungen auf machen. Dort sind alle Orte gelistet, von denen IHR angemeldet seid.

Mit einer Ein-Klick-Option, könnt ihr euch von dort abmelden.

Sicherheitslücke bei Facebook - was ihr jetzt tun musst! 4

Zusätzliche technische Details von Pedro Canahuati, VP Technik, Sicherheit und Datenschutz

Hier finden Sie einige zusätzliche technische Details zum oben beschriebenen Sicherheitsproblem!

Anfang der Woche haben wir festgestellt, dass ein externer Akteur unsere Systeme angegriffen und eine Sicherheitslücke ausgenutzt hat, die Facebook-Zugriffstoken für Benutzerkonten in HTML offen gelegt hat, als wir eine bestimmte Komponente der Funktion „Anzeigen als“ geändert haben.

Die Sicherheitsanfälligkeit war das Ergebnis der Interaktion von drei verschiedenen Fehlern:

  1. Erstens: „Ansicht als…“ ist eine Datenschutzfunktion, mit der Nutzer sehen können, wie ihr eigenes Profil für jemand anderen aussieht. „Ansicht als…“ sollte eine reine Ansichtsschnittstelle sein. Für einen Komponierertyp (die Box, mit der Sie Inhalte auf Facebook posten können) – insbesondere die Version, die es den Leuten ermöglicht, ihren Freunden alles Gute zum Geburtstag zu wünschen – bot View As fälschlicherweise die Möglichkeit, ein Video zu posten.
  2. Zweitens: Eine neue Version unseres Video-Uploaders (die Schnittstelle, die als Ergebnis des ersten Bugs präsentiert wurde), die im Juli 2017 eingeführt wurde, erzeugte fälschlicherweise ein Zugriffs-Token, das die Berechtigungen der Facebook Mobile App hatte.
  3. Drittens: Wenn der Video-Uploader als Teil von „Ansicht als..“ angezeigt wurde, hat er das Zugriffstoken nicht für Sie als Betrachter, sondern für den Benutzer, den Sie gesucht haben, generiert.

Es war die Kombination dieser drei Fehler, die zu einer Sicherheitslücke führte. Diese Zugriffstoken war dann im HTML der Seite verfügbar, die die Angreifer extrahieren und ausnutzen konnten, um sich als ein anderer Benutzer anzumelden. Die Angreifer konnten dann von diesem Zugriffstoken zu anderen Konten wechseln, die gleichen Aktionen ausführen und weitere Zugriffstoken erhalten.

Um die Konten von Nutzern zu schützen, haben wir die Sicherheitsanfälligkeit behoben. Wir haben auch die Zugriffstokens der fast 50 Millionen Konten zurückgesetzt, von denen wir wissen, dass sie betroffen waren. Außerdem haben wir den Vorsichtsschritt zum Zurücksetzen von Zugriffstoken für weitere 40 Millionen Konten durchgeführt, die im letzten Jahr einem „Look-Up..“ unterzogen haben . Schließlich haben wir die Funktion „Anzeigen als“ vorübergehend deaktiviert, während wir eine gründliche Sicherheitsüberprüfung durchführen.

Soweit die Mitteilung von Facebook!

Wie könnt ihr euch als Nutzer jetzt schützen?

  • Auf die automatische Passworteingabe verzichten. Nutzer die regelmäßig ihren Browser-Cache löschen, reduzieren das Risiko für einen Hackerangriff
  • Wenn möglich, auf die Konto-Verknüpfung im Online-Shop und anderen Diensten verzichten

Was kann man noch für seine Sicherheit tun!

Wenn ihr euch immer noch unsicher fühlt, empfehlen wir euch, auf allen Geräten und Apps euch abzumelden.

So geht's:

  • Öffnet die Konto-Einstellungen
  • Wählt das Menü „Sicherheit und Login“ aus

Sicherheitslücke bei Facebook - was ihr jetzt tun musst! 5

  • Dort erscheint eine Liste, mit Geräten, wo man gerade angemeldet ist.
  • Klicke auf – „Melde dich von allen Sitzungen ab“ und schon sind alle Sitzungen geschlossen.

Sicherheitslücke bei Facebook - was ihr jetzt tun musst! 6

Außerdem empfehlen wir Euch, unter „Apps und Websites“ zu überprüfen, mit welchen anderen Diensten euer Konto verknüpft ist.

Sicherheitslücke bei Facebook - was ihr jetzt tun musst! 7

Und für wenn doppelte Sicherheit wichtig ist, dem legen wir gleich nahe, die Zweifaktor-Authentifizierung einzurichten. Dadurch wird bei jeder Anmeldung zusätzlich auch ein Code angefordert. Dieser kann entweder per App oder per SMS aufs Handy geschickt werden. Alternativ gibt es auch Codes zum Ausdrucken (old school).

Offene Fragen!

  • Bei der Programmierung der oben beschriebenen Punkte, hat ausgerechnet Facebook Mist gebaut.
  • Die Schwachstelle entstand, nachdem ein neues Video-Feature falsch implementiert wurde – wie konnte Facebook das nicht bemerken?
  • Laut Informationen von Facebook gib es keinen regionalen Schwerpunkt bei diesem Hacker-Angriff.
  • Die Angreifer haben laut Facebook, es nicht auf bestimmte Zielgruppen abgesehen. Wie und woran Facebook das festmacht, hat Mark Zuckerberg bisher noch nicht verkündet.
  • Facebook weiß immer noch nicht, seit wann der Angriff läuft und wie lange die Angreifer die Konten ausbeuten konnten.
  • Welche Daten haben die Angreifer erhalten?
  • Auf welche Informationen hatten Sie Zugriff?

Die Kreise sind noch nicht geschlossen und ähnlich wie beim Skandal um die Analysefirma Cambrigde Analytica könnte sich der Kreis der Betroffenen bald radikal ausweiten.

Wir halten euch auf dem Laufenden!

 

One Comment

leave a comment