Hack: Facebook entwarnt, aber Security-Forscher nicht

Beim erfolgreichen Facebook-Hack, der 50 Millionen Konten betraf, waren "Token" im Spiel, die auch von Drittanbieterplattformen wie Spotify verwendet werden. Die Lücke war zudem seit Juli 2017 vorhanden.
 
Somit lautet eine der grossen Fragen, ob zig Millionen weitere Betroffene zu addieren sind, weil sie via Facebook-Login in Airbnb oder Pinterest einloggten: "Diese Untersuchung hat bisher keine Beweise dafür gefunden, dass die Angreifer über Facebook Login auf Apps zugegriffen haben", so Facebook in einem Blog-Post.
 
Allerdings steht die Untersuchung des Hacks noch in ihren Anfängen, sei dies bei Facebook oder bei Drittanbietern.
 
Denn die Facebook-Erkenntnis bedeutet nicht, dass die gestohlenen Zugriffstoken, die bereits von Facebook zurückgesetzt wurden, keine Bedrohung mehr darstellen. Dies hängt auch davon ab, wie Website die User-Token validieren. 'The Hacker News'stimmt anderen Berichten zu, dass viele Websites für Facebook-Logins nicht die offiziellen SDKs verwenden.
 
Ausserdem könnten die Hacker sich mit den gestohlenen Tokens und richtigen User-E-Mail-Adressen längst in Apps eingeloggt haben und diesen Account übernommen haben und beispielsweise ein neues Passwort setzen. Und dies ist mehr als ein theoretisches Szenario. In der britischen Zeitung 'The Guardian' kommt ein Security-Forscher zu Wort, der den Hack bei 22 der populärsten Plattformen mit Facebook-Login durchgeführt habe.
 
Nicht zuletzt, so der Forscher Jason Polakis, Informatik-Professor an der University of Illinois in Chicago, könnten die Hacker auch einfach warten, bis sich ein User wieder einloggt, um die Daten dann zu erbeuten.
 
"Nutzen Sie unsere offiziellen Facebook-SDKs für Android, iOS und JavaScript - diese überprüfen täglich automatisch die Gültigkeit von Zugriffstokens und erzwingen eine neue Anmeldung, wenn sie von Facebook zurückgesetzt werden, um die Sicherheit der Benutzerkonten zu schützen", empfiehlt Facebook. Vielen Developern könnte dieser Tipp erst jetzt die Augen öffnen. (mag)