Microsoft: Azure-Identitätsservice von Facebook-Hack nicht betroffen

Microsoft gibt eine Entwarnung bezüglich des Ende September bekannt gewordenen grossen Facebook-Hacks. Unternehmenskunden, welche den "Azure Active Directory B2C"-Service nutzen – und damit letztendlich deren Kunden – seien nicht gefährdet. Dies, obwohl Nutzer dieses Services ihren Kunden ermöglichen können, sich mittels Facebook-ID in Webseiten- und -Services einzuloggen, die auf Azure laufen. Die Methode, welche die Hacker verwendet haben, um Zugriff auf Facebook-Profile zu erhalten, funktioniere beim Azure-Service nicht, so Microsoft.
 
Bei Facebook konnten Hacker einige mittlerweile behobene Sicherheitslücken ausnützen. So erhielten sie Zugriff auf die sogenannten Access Tokens anderer User. Mit diesen Tokens wiederum war es möglich, sich in die Accounts dieser User einzuloggen. Der Azure-Service verwendet laut Microsoft aber diese Tokens nicht, so dass sich die Hacker damit nicht einloggen können.
 
Der "Azure Active Directory B2C Service" wird von vielen Unternehmen genutzt. Sie erhalten damit ein vorgefertigtes Modul, um auf Azure laufende Websites mit einer Login-Möglichkeit für Consumer auszustatten. Die Nutzerunternehmen können ihren Kunden dabei der Bequemlichkeit halber die Benutzung von Facebook-IDs erlauben, ebenso wie IDs von Amazon, Google, LinkedIn und anderen mehr. (hjm)