Von Guy Rosen, VP Product Management

Wir haben rund um die Uhr daran gearbeitet, das Sicherheitsproblem, welches wir vor zwei Wochen entdeckt und behoben haben, umfassend zu untersuchen. Damit wollen wir dazu beitragen, dass die Menschen auf Facebook verstehen, auf welche Informationen die Angreifer möglicherweise Zugriff gehabt haben. Heute veröffentlichen wir Details zu dem Angriff, der die genannte Schwachstelle ausgenutzt hat. Wir schließen nicht aus, dass es darüber hinaus auch kleinere Angriffe gab. Wir untersuchen dies auch weiterhin.

Die Angreifer haben – wie bereits berichtet – eine Schwachstelle im Code von Facebook ausgenutzt. Diese Schwachstelle existierte von Juli 2017 bis September 2018. Sie ergab sich aus dem Zusammenspiel dreier unterschiedlicher Fehler und betraf die Funktion „Anzeigen als“ (View As). Diese Funktion dient dazu, das eigene Profil aus Sicht einer anderen Person zu betrachten. Die Schwachstelle ermöglichte es den Angreifern, die Facebook-Zugriffstoken zu stehlen, die sie dann für die Übernahme von Konten nutzen konnten. Zugriffstoken sind so etwas wie digitale Schlüssel, mit denen Menschen bei Facebook angemeldet bleiben, damit sie nicht bei jedem Aufruf der App ihr Passwort neu eingeben müssen.

Wir haben den Angriff, der diese Schwachstelle ausgenutzt hat, auf folgende Weise entdeckt: Wir haben bemerkt, dass es seit dem 14. September 2018 einen ungewöhnlich hohen Grad an Aktivität gab und haben eine entsprechende Untersuchung eingeleitet. Am 25. September haben wir festgestellt, dass es sich tatsächlich um einen Angriff handelte und die Schwachstelle identifiziert. Innerhalb von zwei Tagen haben wir die Schwachstelle behoben und den Angriff gestoppt. Außerdem haben wir Nutzerkonten gesichert, indem wir die Zugriffstoken für diejenigen wiederhergestellt haben, die möglicherweise betroffen waren. Als Vorsichtsmaßnahme haben wir zudem die Funktion „Anzeigen als“ deaktiviert. Das FBI führt aktuell Untersuchungen durch. Wir arbeiten mit dem FBI zusammen und wurden gebeten, Stillschweigen darüber zu bewahren, wer hinter dem Angriff stecken könnte.

Wir wissen jetzt, dass weniger Menschen betroffen waren, als wir ursprünglich angenommen haben. Von den 50 Millionen Nutzern, von denen wir dachten, dass ihre Zugriffstoken betroffen sind, wurden von 30 Millionen Nutzern die Token tatsächlich gestohlen. So ist es dazu gekommen:

Die Angreifer hatten bereits die Kontrolle über eine gewisse Anzahl von Konten, die mit Facebook-Freunden verbunden waren. Mithilfe eines automatisierten Verfahrens haben sie sich von Konto zu Konto bewegt, um die Zugriffstoken von diesen Freunden zu stehlen sowie von den Freunden dieser Freunde und so weiter. Hierbei handelte es sich um insgesamt ungefähr 400.000 Nutzer. Im Zuge dieses Verfahrens wurden die Facebook-Profile dieser Konten automatisch geladen. Dabei wurde gespiegelt, was diese 400.000 Nutzer gesehen hätten, wenn sie sich ihre eigenen Profile anschauten. Dazu gehörten Beiträge in ihrer Chronik, ihre Freundesliste, Gruppen, bei denen sie Mitglied sind sowie Namen von kürzlich geführten Messenger-Unterhaltungen. Auf den Inhalt der Nachrichten konnten die Angreifer jedoch nicht zugreifen. Mit einer Ausnahme: Wenn eine Person in dieser Gruppe ein Seitenadministrator war, dessen Seite eine Nachricht von jemandem auf Facebook erhalten hatte, war der Inhalt dieser Nachricht für die Angreifer verfügbar.

Die Angreifer haben einen Teil der Freundeslisten dieser 400.000 Nutzer verwendet, um die Zugriffstoken von ungefähr 30 Millionen Nutzern zu stehlen. Bei 15 Millionen Nutzern haben die Angreifer auf zwei Arten von Informationen zugegriffen: Name und Kontaktdaten (Telefonnummer und/oder E-Mail, je nachdem, was auf dem Profil der Nutzer hinterlegt war). Bei 14 Millionen Nutzern haben die Angreifer zudem auf weitere Details vom Profil der Nutzer zugegriffen. Dazu gehörten Nutzername, Geschlecht, Sprache, Beziehungsstatus, Religion, Heimatstadt, aktueller Wohnort (eigene Angabe), Geburtsdatum, Gerätetypen für die Nutzung von Facebook, Ausbildung, Arbeit, die letzten zehn Orte, an denen sie eingecheckt haben oder markiert wurden, Websites, Menschen oder Seiten, denen sie folgen sowie die letzten 15 Suchanfragen. Bei einer Million Nutzer wurde auf keinerlei Informationen zugegriffen.

Ob sie betroffen sind, können Nutzer in unserem Hilfebereich überprüfen. In den nächsten Tagen verschicken wir zudem individuelle Nachrichten an die 30 Millionen betroffenen Nutzer. Darin erklären wir, auf welche Informationen die Angreifer möglicherweise Zugriff hatten. Darüber hinaus informieren wir sie darüber, wie sie sich schützen können, u.a. vor verdächtigen E-Mails, Textnachrichten oder Anrufen.

Nachrichten, die Nutzer erhalten, abhängig davon, wie sie betroffen sind.

Von diesem Angriff sind weder Messenger, Messenger Kids, Instagram, WhatsApp, Oculus, Workplace, Seiten, Zahlungen, Apps von Drittanbietern noch Werbe- oder Entwicklerkonten betroffen. Aktuell überprüfen wir, wie die für diesen Angriff verantwortlichen Personen Facebook außerdem genutzt haben und ob es kleinere Angriffe gegeben hat. Gleichzeitig arbeiten wir weiterhin mit dem FBI, der US-amerikanischen Federal Trade Commission (FTC), der Irischen Datenschutzkommission sowie weiteren Behörden zusammen.

Weitere Details hierzu: Englischer Newsroom Post