erweiterte Suche
Montag, 15.10.2018

Hacker stehlen Infos von Facebook-Profilen

Der vor zwei Wochen bekannt gewordene Hacker-Angriff auf das soziale Netzwerk war kleiner, aber auch deutlich unangenehmer als zunächst bekannt.

Von Andrej Sokolow

Facebook-Chef Mark Zuckerberg in Erklärungsnot. Hacker griffen persönliche Daten von Millionen Nutzern ab.
Facebook-Chef Mark Zuckerberg in Erklärungsnot. Hacker griffen persönliche Daten von Millionen Nutzern ab.

© Marcio Jose Sanchez/dpa

Bei dem jüngst bekannt gewordenen Hacker-Angriff auf Facebook wurden 14 Millionen Nutzern zum Teil sehr private Daten gestohlen. Bei diesen Profilen sind unter den erbeuteten Informationen die zehn letzten Orte, an denen sie sich über Facebook angemeldet hatten oder von anderen Nutzern markiert wurden, und die 15 jüngsten Suchanfragen bei dem Online-netzwerk.

Bei 15 Millionen Nutzern seien der Name und Kontaktinformationen wie E-Mail gestohlen worden, berichtete Facebook. Insgesamt seien 30 Millionen Profile betroffen gewesen statt 50 Millionen, wie zunächst geschätzt. Bei einer Million der betroffenen Nutzer seien gar keine Daten entwendet worden. Facebook hat über 2,2 Milliarden aktive Mitglieder.

Facebook-Nutzer können auf einer Hilfe-Seite des Onlinenetzwerks prüfen, ob sie betroffen sind. In den kommenden Tagen sollen Nutzer, die Opfer der Hacker geworden sind, zudem mit Mitteilungen in der Facebook-App informiert werden.

Die für Facebook in Europa zuständige irische Datenschutzbehörde sprach von einem „bedeutenden Update“, da nun bestätigt sei, dass bei Millionen von Nutzern Informationen gestohlen wurden. Die bereits am 3. Oktober eingeleitete Untersuchung zu dem Fall gehe weiter, erklärten die Datenschützer bei Twitter. Bei Verstößen gegen die neue EU-Datenschutzgrundverordnung drohen Strafen von bis zu vier Prozent des Jahresumsatzes. Das wären bei Facebook 1,6 Milliarden Dollar.

Facebook hatte vor zwei Wochen mitgeteilt, dass unbekannte Angreifer sich durch den Diebstahl digitaler Schlüssel Zugang zu Millionen Profilen verschafft hatten. Mit diesen sogenannten Token konnten sie auf die Profile zugreife, als wären es ihre eigenen. Bei den 14 Millionen Nutzern, die schwerer betroffen waren, sind unter den abgegriffenen Informationen auch die Websites, Personen oder Facebook-Seiten, denen sie folgen, sowie Geburtsort, Beziehungsstatus, Religion und Arbeitsplatz. Facebook bekräftigte, dass von dem Hackerangriff keine Bezahlinformationen betroffen gewesen seien. Es gebe zudem keine Hinweise darauf, dass die Angreifer die Möglichkeit ausgenutzt hätten, sich mit den gestohlenen Digitalschlüsseln bei anderen Apps anzumelden, für die Nutzer ihren Facebook-Login verwendeten, sagte Facebook-Produktchef Guy Rosen.

Die Angreifer hatten eine Schwachstelle in der Funktion ausgenutzt, mit der Facebook-Mitglieder sich ihr Profil aus der Sicht anderer Nutzer anzeigen lassen können. Die Lücke erlaubte es ihnen, den Langzeitschlüssel zu stehlen, der normalerweise auf einem Gerät gespeichert wird. Er dient dazu, dass ein Nutzer schnell in sein Profil reinkommt, ohne jedes Mal ein Passwort eingeben zu müssen. Die Anzeige des Profils aus der Sicht anderer Nutzer sollte eigentlich das Bewusstsein der Mitglieder für ihre Privatsphäre schärfen, weil sie so sehen konnten, was sie bei Facebook von sich preisgeben. Das Problem war, dass bei der Darstellung des Profils aus der Sicht eines anderen Nutzers unter bestimmten Umständen fehlerhafterweise ein Zugangs-Token generiert wurde – und dann auch noch für das Profil dieses anderen Nutzers. So hangelten sich die Hacker dank der Freundschaftsverknüpfungen von Profil zu Profil. Die Untersuchung ergab, dass die Angreifer die Attacke von einer Reihe Profile gestartet hatten, die sie selbst kontrollierten. Facebook macht keine Angaben zu den Angreifern. Rosen sagte, man arbeite eng mit dem FBI zusammen und sei von der US-Bundespolizei gebeten worden, sich dazu nicht zu äußern – was den Eindruck erweckte, dass Facebook Hinweise zu den Hacker haben könnte. Unabhängig davon wurde bekannt, dass Facebook 66 Profile, Seiten und Apps löschte, hinter denen zwei russische Firmen standen, die Gesichtserkennungssoftware für Russlands Regierung entwickeln. Sie hätten die Profilfotos von der Plattform abgegriffen, berichtete die New York Times. (dpa)