von Robert Klatt •
Die ausgenutzte Sicherheitslücke ist über ein Jahr alt. Der Schaden der Nutzer soll jedoch gering seien, da kaum sensible Daten gestohlen wurden.
Facebook-Manager Guy Rosen erklärte kürzlich, das unbekannte Angreifer Zugangstoken des Sozialen-Netzwerks erbeuten konnten, mit denen sie "die Profile nutzen konnten wie ihre eigenen." Betroffen sind davon laut Facebook rund 50 Millionen Nutzer. Die Folgen des Angriffs sind bisher nicht abzusehen. Gegenüber Ars Technica erklärte Facebook, dass bisher keine Fälle bekannt geworden sind in denen die Hacker Kreditkartendaten oder andere persönliche Information entwendet haben. Auch Nachrichten sollen laut Facebook nicht gestohlen worden seien und Beiträge in den Namen der Nutzer wurden wohl ebenfalls nicht verfasst.
Aufgefallen ist der Angriff dadurch, dass die Hacker Profil-Informationen wie Wohnort, Name und Geschlecht abgerufen haben. Eine bestimmte Region oder andere Eigenschaften nach denen die Nutzer ausgewählt wurden konnte Facebook ebenfalls nicht feststellen.
Mark Zuckerberg gab zu, dass "Facebook nicht weiß, wer hinter dieser Attacke steckt." Die Chancen die Verantwortlichen zu finden sind auch laut Produktchef Rosen sehr gering. Die bereits am Dienstag entdeckte Schwachstelle soll inzwischen geschlossen seien. Auch das FBI wurde eingeschaltet, um herauszufinden, wer die Profil-Informationen entwendet hat. Außerdem erfolgte eine Meldung an die Datenschutzbehörden in Irland, die aufgrund der EU-Datenschutzgrundverordnung (DSGVO) zwingend notwendig ist.
Ausgenutzt wurde für den Angriff die Funktion "Anzeigen aus der Sicht von", die normalerweise nur das eigene Profil aus der Sicht andere Facebook-Nutzer zeigt. Dies dient eigentlich zur Überprüfung von Privatsphäre-Einstellungen. Rosen erklärte, dass die Sicherheitslücke im Juli 2017 entstanden ist, als Facebook ein neues Video-Upload-Tool eingeführt hat. Facebook hat aus diesem Grund die Nutzung der Funktion vorerst deaktiviert, wie das Unternehmen mitteilte.
Nachdem Skandal um Cambridge Analytica hat der nun bekannt gewordenen Hack der 50 Millionen Nutzer der zweite große Skandal bei Facebook innerhalb kürzester Zeit. Als Reaktion sank der Aktienkurs des Unternehmens um drei Prozent.
Auch die für Facebook zuständige Datenschutzbehörde in Irland reagiert via Twitter auf den Vorfall.
Facebook data breach. The DPC is concerned that this breach was discovered on Tuesday & affects millions of users. At present Facebook is unable to clarify the nature of the breach & risk to users. We are pressing Facebook to urgently clarify these matters. #dataprotection
— Data Protection Commission Ireland (@DPCIreland) September 28, 2018
Facebook könnte aufgrund des Datenverlustes mit einem hohen Bußgeld belegt werden, das aufgrund der seit Mai 2018 geltenden DSGVO möglich ist. Vorgesehen sind bis zu zehn Millionen Euro oder im Falle von Facebook bis zu zwei Prozent des weltweiten Jahresumsatzes. In besonders schweren Fällen von Pflichtverletzung sind Bußgelder in doppelter Höhe möglich.