Wegen Hack: Facebook drohen 1,6 Milliarden-Busse in der EU

EU-Bürger sind vom Einbruch sicher betroffen. Und vielleicht auch User von Websites mit Facebook-Login.
 
Tag für Tag kommen neue Informationen ans Tageslicht, wie Hacker erfolgreich Zugriff auf mindestens 50 Millionen User-Konten von Facebook erlangt haben und wie der Einbruch einzuschätzen ist.
 
Facebook sagt, man habe den Breach am 25.9. entdeckt und die zuständigen Behörden informiert. Ein "augenscheinlich schnelles und professionelles Vorgehen" bestätigt auch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI).
 
Aus technologischer Sicht ist erst die Spitze des Eisbergs bekannt. Im Zentrum steht die "View as"-Funktion bei Facebook. Mit dieser können User sehen können, wie ihr eigenes Profil für jemand anderen aussieht. Allerdings konnten die Hacker im rein als "Ansichts"-Interface gedachten Funktion laut Pedro Canahuati, VP Engineering, Security and Privacy von Facebook, eine Kombination von gleich drei Software-Fehlern ausnutzen.
 
1. um Freunden zum Geburtstag zu gratulieren, konnte der User Videos hochladen. Dies war laut Facebook "nicht korrekt".
 
2. der Video-Uploader generierte seit einem Update vom Juli 2017 ein Access Token, das Zugriffsrechte auf die Facebook-Mobile App hatte. Das war ebenfalls "nicht korrekt".
 
3. der generierte Access Token war nicht derjenige des Users, sondern für den Freund des Users, den man mit der "View-As"-Funktion eigentlich "simulierte".
 
Nicht zuletzt war der Access Token für die Hacker im HTML-Code ersichtlich. Diese nutzten den Token auch, um sich als dieser User einzuloggen, wobei sie wieder Zugriffsrechte auf weitere User erlangten undsoweiter.
 
Nun lautet eine der grossen Fragen: Gab es "nur" 50 Millionen Betroffene oder sehr viele mehr? Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) rechnet jedenfalls mit steigenden Betroffenenzahlen und Facebook selbst hat 50 Millionen Token von Betroffenen zurückgesetzt sowie 40 Millionen mögliche weitere.
 
Gab's Zugriff auf Spotify & Co?
In einer Telefonkonferenz mit Reportern sagte Guy Rosen, VP Product Management, dass die Hacker auch Zugriff auf Nutzerkonten von Apps und Websites von Dritten hätten erhalten können. Und dies bei jenen Sites, welche auf Facebook-Identität aufsetzen. Dies meldet 'Slate'.
 
Erhielten also die Hacker via Facebook-Token auch Zugriff auf Spotify, Airbnb und Tausende weiterer Sites mit Facebook-Identity-Login-Option? Noch sei dies unklar weil externe Sites Facebook-Token unterschiedlich handhaben, glaubt auch 'TechCrunch'. Ob das berechtigte Fragen sind, wird sich zeigen, wenn die Security-Verantwortlichen von Websites mit Facebook-Login über dem Thema gebrütet haben
 
EU-Bürger sicher betroffen
Aktuell scheint es, dass WhatsApp nicht betroffen ist. Die Funktionalität "View-As" hat Facebook vorübergehend abgeschaltet, bis die Untersuchung abgeschlossen ist. Noch keine Informationen gibt es über die Hacker oder die geografische Herkunft des Hacks.
 
Die Opferzahl und deren Wohnort ist ebenfalls noch unklar, aber laut BSI sind Deutsche sicher betroffen. Damit kommt auch die DSGVO der EU samt dem Bussenkatalog zur Anwendung. Die EU-Datenschutzbehörde hat sich bereits "besorgt" gezeigt. Die Busse könnte im EU-Raum 1,63 Milliarden Dollar (1,6 Milliarden Franken) betragen, rechnet 'Fortune' vor.
 
Zu Schweizer Betroffenen ist nichts bekannt.
 
Noch folgenreicher, da sind sich alle Experten einig, könnte der Hack bei Regulatoren und Usern sein, ganz abgesehen davon, dass die eine oder andere Website darüber nachdenken wird, ob man das Facebook-ID-Login abschalten soll.
 
Letzten August hat Facebook seine Security-Teams reorganisiert, seit Alex Stamos, oberster Security-Verantwortlicher, den Konzern verliess. Seither arbeiten die Sicherheitsteams enger mit den Produktteams im gesamten Unternehmen zusammen. Die Reorg, sagte das Unternehmen, gehöre zu den Anstrengungen, Security in jeden Schritt der Facebook-Produktentwicklung zu integrieren. (mag)