Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

Der Facebook Hack – diese 10 Punkte sind nun wichtig zu wissen!

M.Sc. Chris Wojzechowski

Beim Lesen der Schlagzeile „Facebook Hack betrifft 50 Millionen Accounts“ könnte man denken: Kenne ich schon! Denkt man jedoch an Cambridge Analytica und den dahinterstehenden Datenskandal – dann ist man nicht auf dem neusten Stand, denn Facebook wurde erneut gehackt. Dieses mal ist jedoch vieles anders – aber nicht weniger schlimm!

Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!

Das wissen wir über den aktuellen Facebook Hack!

Fremde waren durch eine Sicherheitslücke bei Facebook in der Lage die Accounts von anderen zu übernehmen. Dabei wurden Informationen von 50 Millionen Accounts abgegriffen. Als Konsequenz daraus hat Facebook ca. 90 Millionen Accounts abgemeldet. Falls sich also jemand am Freitag neu einloggen musste – daran könnte es gelegen haben. Diese 10 Punkte sind im Augenblick die relevantesten:

1. Facebook hat den Vorfall nach Trafficspitzen erkannt

Schuld war die Funktion „Anzeigen aus der Sicht von ..“. Natürlich protokolliert Facebook, wie oft diese Funktion verwendet wird. Dem sozialen Netzwerk ist ab dem 16.09 aufgefallen, dass diese Funktion außergewöhnlich häufig genutzt worden ist. Daraufhin wurden interne Untersuchung angestellt, mit denen die Sicherheitslücke entdeckt und geschlossen werden konnte.

2. Für den Facebook Hack wurden 3 Sicherheitslücken ausgenutzt

Am Ende wurden drei bestehen Sicherheitslücken für die Umsetzung verwendet.

  1. Der Einstieg für die Angreifer gelang über die „Anzeigen aus der Sicht von…“. Diese Funktion war ursprünglich dafür gedacht, dass man sich ein Bild davon machen kann, wer was auf dem eigenen Profil sehen kann. Aus dieser Ansicht sollte nur ein lesender Zugriff möglich sein.
  2. Fälschlicherweise waren Accounts aber in der Lage eine „Happy Birthday“ Mitteilung an die Pinnwand zu posten. Wer jetzt ein Video hochladen wollte, hat eine veraltete Video-Upload Option angezeigt bekommen. Diese Option hat ein sogenanntes Access Token erstellt. Mit diesem Token konnte man sich in der mobilen Facebook App anmelden.
  3. Das Token wurde nicht für den erstellt dem der Account gehört, sondern von dem, dessen Sicht man eingenommen hat.

3. Es wurden Tokens von ungefähr 50 Millionen Accounts gestohlen

Es ist keine theoretisch Attacke. Diese Sicherheitslücke wurde aktiv ausgenutzt. Ca. 50 Millionen Accounts sind von dem Facebook Hack tatsächlich betroffen gewesen. Angreifer sind mit dem Secret Access Token wegspaziert, mit dessen Hilfe sich Accounts übernehmen lassen. Die Secret Access Tokens sorgen dafür, dass man als Nutzer eingeloggt bleibt und nicht ständig sein Passwort eingeben muss.

4. Dein Facebook Passwort wurde nicht gestohlen – das ist jedoch nur bedingt beruhigend!

Auf der einen Seite ist das natürlich eine gute Nachricht: Das Passwort eures Accounts wurde nicht gestohlen! Das war es aber schon mit der guten Nachricht. Die schlechte ist: Die Angreifer brauchen das Passwort gar nicht. Das Token genügt um Zugang zu erhalten. Gut ist es jedoch für diejenigen, die das Passwort von Facebook auf vielen anderen Plattformen ebenfalls benutzen. Das sollte man zwar nicht tun, die Mehrfachverwendung von Passwörtern ist aber beliebt.

5. Hacker konnten sensible, persönliche Informationen herunterladen!

Mithilfe des Tokens hatten Fremde Zugang zum eigenen Account. Das heißt im Klartext: Persönliche Informationen, Nachrichten, Fotos und Videos waren für Angreifer einsehbar. Wer die Angreifer sind, wer die Zielgruppe ist? Im Augenblick wissen das nur die Angreifer. Selbst Facebook stochert noch im Dunkeln. Die Sicherheitslücke ist übrigens 1 (!) Jahr alt.

6. „Einloggen mit Facebook“ kann ebenfalls zum Risiko werden!

Die Möglichkeit sich mit dem Facebook Account bei zahlreichen anderen Accounts einzuloggen ist beliebt. Dieses beliebte Feature funktioniert mit der Hilfe der Secret Access Tokens. Und die wurden gestohlen. Bequemlichkeit ist leider nicht immer vereinbar mit der Sicherheit. Empfehlenswert ist es für jeden Dienst eine eigene E-Mail-Adresse zu verwenden. Das kann aufwändig für Laien werden. Deshalb eignen sich auch „Kategorie-E-Mails“. Eine für das online Shopping, eine für soziale Netzwerke usw.

7. Facebook hat die Tokens von 90 Millionen Accounts zurückgesetzt

Vielleicht musste sich der ein oder andere in der näheren Vergangenheit erneut bei Facebook einloggen? Dann kann es sein, dass du zu den 90 Millionen Accounts gehörst, die Facebook vorsorglich zurückgesetzt hat. Die 40 Millionen zusätzlichen Token Resets waren eine Vorsichtsmaßnahme.

8. Überprüfe aktive Sessions und finde heraus ob du von dem Facebook Hack betroffen bist

Jede aktive Session wird in deinem Account protokolliert. In der Regel sollte diese Übersicht folgendermaßen aussehen:

Überprüfe deine aktiven Sessions nach dem Facebook Hack
Überprüfe deine aktiven Sessions bei Facebook. Falls dort ungewöhnliche Orte stehen, kann es sein, dass du von dem Hack betroffen bist. (Quelle: Screenshot)

Falls du dort mehrere ungewöhnliche Orte erkennt, melde diese Sessions ab. Wenn Angreifer Zugriff auf deinen Account genommen haben, ist dieser nun entzogen. Schätzungsweise sind ca. 5 Millionen Nutzer aus der EU betroffen.

9. Die Sicherheitslücke hat nichts mit dem angekündigten Stream zu tun, in dem Zuckerbergs persönliche Seite gelöscht werden sollte

Für viel Aufruhr hat die Ankündigung von Chang Chi-Yuang gesorgt. Er hatte behauptet, er könne die persönliche Facebook Seite von Mark Zuckerberg löschen. Dies wolle her jedoch nicht hinter verschlossenen Türen tun, sondern in einem Live Stream demonstrieren. Die ganze Aktion wurde zwar gecancelled, ist aber anzunehmen, dass es sich hierbei um eine andere Sicherheitslücke handelt. Er hat die Sicherheitslücke nun doch offiziell an Facebook berichtet.

10. Facebook Hack führt zu massiven Strafen und zahlreichen Klagen

Schon der Skandal rund um Cambridge Analytica hat für viel Wirbel gesorgt. Der jetzige Hack ist nicht weniger schlimm. Kann Facebook verantwortungsvoll mit den Daten seiner Nutzer umgehen? Diese Frage muss mit einem eindeutigen „Nein!“ beantwortet werden. Ob der Konzern bei diesem Vorfall wieder so glimpflich davonkommt? Wahrscheinlich nicht. Die ersten Klagen sind angekündigt, Klärungsbedarf ist von vielen Seiten gefordert. Schätzungen zur Folge kostet der Facebook Hack das Unternehmen mehr als 1.5 Milliarden USD.

Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.

Foto des Autors

M.Sc. Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin einer von zwei Geschäftsführern der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.
AWARE7 GmbH - Logo

0209 - 8830 6760

info@aware7.de

Öffnungszeiten
Montag - Freitag
8:00 - 17:00 Uhr

Anfahrtsbeschreibung
Google Plus Code F4X5+M2

Unternehmen

AWARE7 GmbH
Munscheidstr. 14
45886 Gelsenkirchen
Impressum | Datenschutz

Forschung & Entwicklung
Über uns
Karriere

Informationen

Schulungen & Workshops

T.I.S.P.-Expertenzertifikat

Ressourcen

Kostenfreies E-Learning
Erfolgsgeschichten
Downloads
Projekte

ISO 27001 Zertifizierung - AWARE7 GmbH
Profil von AWARE7 GmbH in Ariba Discovery anzeigen