Facebook Hack – das mulmige Gefühl nach dem Kapern von 50 Millionen Konten

Vergangenen Freitagabend gab Facebook bekannt, gehackt worden zu sein. Bisher spricht man offiziell von 50 Millionen betroffenen Usern. Verantwortlich war eine Sicherheitslücke in einem Feature, das ironischerweise zum Datenschutz beitragen sollte. Ebenfalls verkündete ein bekannter „Hacker“ am Freitag, einen Bug gefunden zu haben, mit dem er Mark Zuckerbergs Profil kapern könne. Der Zeitpunkt des Bekanntwerden des Hacks könnte für Facebook kaum ungünstiger sein, doch ist die Transparenz löblich.

Was war passiert?

Verantwortlich für den Hack war anscheinend eine Kombination aus mehreren Lücken der Software. So machten die Angreifer sich eine Schwachstelle im Code Facebooks zunutze, der in Zusammenhang mit der Funktion „View as“ steht. Dieses Feature ermöglicht es, das eigene Profil aus der Sicht anderer User zu betrachten. Mittels der Funktion konnten die Hacker vereinfacht gesagt Access Tokens stehlen und Konten übernehmen.

Laut Guy Rosen, Chef des Produktmanagements, war bereits Mitte letzten Monats eine ungewöhnlich hohe Aktivität bei der Funktion festgestellt worden. Am vergangenen Dienstag wurde der Hack entdeckt und mehrere Maßnahmen sind inzwischen eingeleitet worden. So wurden die Behörden informiert und Konten der betroffenen Nutzer zurückgesetzt. Nutzer, die im vergangenen Jahr auf dieses Feature zurückgriffen, mussten sich entsprechend neu einloggen. Auch ist „View as“ aus Sicherheitsgründen nun vorerst deaktiviert.

Möglicherweise könnten auch andere Websites und Dienste betroffen sein, die einen Facebook Login anbieten, denn die sogenannte „Single-Sign-on“-Funktion nutzt die Tokens und bietet die Möglichkeit sich bequem auf zahlreichen anderen Diensten anzumelden. Hacker könnten demnach eine enorme Anzahl an Daten und Profilen eines einzelnen Nutzers einsehen.

Laut Rosen ist zum jetzigen Erkenntnisstand nicht bekannt, ob die betroffenen Konten auch missbraucht wurden oder auf Informationen tatsächlich zugegriffen worden ist. Auch wer hinter dem Hack steckt, ist bis dato nicht bekannt. Dass es von staatlicher Seite kommt, ist dabei aufgrund des Vorgehens allerdings unwahrscheinlich. Facebook will die Öffentlichkeit zu neuen Erkenntnissen informiert halten.

Ungünstiger Zeitpunkt

Der Angriff kommt zu einem ungünstigen Zeitpunkt. So hat Facebook mit dem nicht ganz glimpflich verlaufenen Abgang der Instagram-Gründer eine der schwierigsten Wochen seit langem hinter sich.

Zudem ist das Ausmaß von Sicherheitslücken häufig sehr viel stärker als anfangs angenommen, gibt auch Casey Newton, Facebook Experte bei The Verve, zu bedenken. Facebook ist erst seit kurzem im Bilde über den riesigen Hack und wer weiß, welche Erkenntnisse in den nächsten Tagen noch zutage gefördert werden. Darüber hinaus gibt Casey zu bedenken, dass es sich bei diesem Hack, anders als beim Cambridge Analytica-Skandal, um einen echten Daten-Hack handelt. Und das kann seiner Ansicht nach zu einer ersten, empfindlichen Strafe seitens der EU im Rahmen der DSGVO führen. Zwar wird Facebook an einer Strafzahlung nicht zugrunde gehen. Doch könnte diese ein Exempel statuieren. Der Fall hat jedoch bereits jetzt zweifellos für breites Aufsehen gesorgt. Der Leiter der nationalen Datenschutzbehörde Irlands etwa bemängelt fehlende Details in Facebooks Report, Großbritannies Datenschutzbehörde gab bekannt, in dem Fall zu ermitteln und auch Mitglieder der US-amerikanischen Federal Trade Commission erbitten Aufklärung.

Interessant ist auch, dass der bekannte „Bughunter“ Chang Chi-yuan am Freitagmorgen bekanntgab, einen Bug gefunden zu haben, mit dem er sich Zugriff auf Zuckerbergs Profil verschaffen könne. Er kündigte an, die persönliche Seite des Facebook Chefs via Livestream auf seinem Facebook Profil am Sonntag live zu hacken. Doch kurz darauf zog er seine Ankündigung zurück und wollte den Bug nach Informationen von Bloomberg lediglich melden: „I am canceling my live feed, I have reported the bug to Facebook and I will show proof when I get bounty from Facebook“. Ironie des Schicksals: Kurz nach seinem Rückzug wurde der Hack bekannt, der zig Millionen Konten betraf. Bisher ist jedoch nicht davon auszugehen, dass Chang mit dem Hack in Verbindung steht.

Was bleibt sind ein mulmiges Gefühl und die Gewissheit schutzlos ausgeliefert zu sein

Überraschen dürfte uns dieser Hack nun nicht, war es doch offen gesagt nur eine Frage der Zeit, bis es einmal dazu kommen würde. Bisher konnten Vorfälle dieser Art augenscheinlich gut abgewehrt werden. Nichtsdestotrotz war Facebooks Sicherheitsabteilung machtlos gegen die Skandale, denen sich der Konzern seit einiger Zeit gegenübersieht.

Facebook User sind verunsichert. Sind sie es nicht, dann sollten sie es wenigstens sein. Denn bislang ist nicht klar, inwieweit die mindestens 50 Millionen Daten missbraucht wurden. Mit einem Hack auf Websites und Diensten, auf die Millionen oder Milliarden von Internetnutzern täglich zurückgreifen, ist jederzeit zu rechnen. Es gibt nur zwei Möglichkeiten sich dagegen zur Wehr zu setzen: Entweder, man bleibt diesen Diensten fern. Oder man gibt so wenig Daten wie möglich von sich preis. Die Funktion, sich mittels Facebook-(et al)-Logins aus Bequemlichkeit überall anzumelden, sollte nicht verwendet werden. Die folgenden Tage und Wochen werden Aufschluss über das ganze Ausmaß der Sicherheitslücke und den daraus gewonnenen Daten geben. Die Zeit sollten Facebook-Nutzer jetzt damit verbringen, ihre Passwörter zu erneuern – nicht nur auf der Plattform, sondern auf allen Diensten, auf denen sie sich mit ihren Facebookdaten eingeloggt haben. Was bleibt ist ein mulmiges Gefühl – und die Gewissheit, dergleichen Vorfällen schutzlos ausgeliefert zu sein. Facebook wird noch lange brauchen, um seine Reputation wieder herzustellen, wenn dies überhaupt möglich ist.