Please wait…

30/09/2018 12:25:23
A A | Print

ROUNDUP 5: Hacker hatten Zugang zu fast 50 Millionen Facebook-Accounts


(Neu: Weitere Details)

MENLO PARK (dpa-AFX) - Wegen einer Sicherheitslücke bei Facebook haben Hacker auf Profile von fast 50 Millionen Nutzern zugreifen können als wären es ihre eigenen. Nach bisherigen Erkenntnissen hätten die unbekannten Angreifer aber keine privaten Nachrichten abgerufen oder versucht, etwas im Namen der betroffenen Nutzer bei Facebook zu posten, betonte das Online-Netzwerk am Wochenende.

Abgeschöpft hätten die Angreifer aber Profil-Informationen wie Name, Geschlecht und Wohnort. Dadurch sei die Attacke auch erst aufgefallen. Bisher habe Facebook keinen speziellen Fokus auf bestimmte Regionen oder Nutzergruppen feststellen können. Die Angreifer hatten digitale Schlüssel zu den Accounts gestohlen, mit denen man in die Profile kommt, ohne ein Passwort eingeben zu müssen.

Potenziell gefährlich ist, dass die Hacker sich mit den erbeuteten Digitalschlüsseln auch bei anderen Online-Diensten anmelden konnten, die mit dem Facebook-Login genutzt wurden. Ob es dazu kam, ist bisher unklar. Die Option "Login mit Facebook" bieten unter anderem Internet-Händler sowie viele andere Websites an. Das soll Nutzern den Aufwand ersparen, sich noch mehr Passwörter ausdenken zu müssen.

Die Sicherheitslücke sei am Donnerstag geschlossen worden, versicherte Facebook. Zumindest gemessen an der Zahl betroffener Nutzer ist es der bisher größte bekanntgewordene Hacker-Angriff auf das Online-Netzwerk. Facebook hat insgesamt mehr als 2,2 Milliarden aktive Mitglieder.

"Wir wissen nicht, wer hinter dieser Attacke steckt", sagte Facebooks Gründer und Chef Mark Zuckerberg in einer Telefonkonferenz. Man werde das möglicherweise auch nie erfahren, fügte Produktchef Guy Rosen hinzu. Auch die Profile von Zuckerberg und Geschäftsführerin Sheryl Sandberg seien betroffen gewesen, berichteten die "New York Times" und die "Financial Times".

Die Angreifer hätten eine Sicherheitslücke in der Funktion ausgenutzt, mit der Facebook-Mitglieder sich ihr Profil aus der Sicht anderer Nutzer anzeigen lassen können, erläuterte das Unternehmen. Die Schwachstelle erlaubte es ihnen demnach, sogenannte Token zu stehlen - eine Art Langzeitschlüssel, der auf einem Gerät gespeichert wird. Facebook stellte fest, dass rund 50 Millionen dieser Token gestohlen wurden. Das Passwort selbst kann dabei nicht ausgelesen werden.

Die Funktion mit der Anzeige des Profils aus Sicht von Facebook-Freunden - mit der Nutzer eigentlich ihre Privatsphäre besser im Griff haben sollten - sei vorerst sicherheitshalber abgeschaltet worden, teilte Facebook weiter mit. Zur Sicherheit werden sich weitere rund 40 Millionen Nutzer auf ihren Geräten neu anmelden müssen, nur weil sie diese Funktion im vergangenen Jahr benutzt haben.

Die Attacke kommt zu einem extrem ungünstigen Zeitpunkt für das Online-Netzwerk, das noch um das Vertrauen der Nutzer nach dem Datenskandal um Cambridge Analytica kämpfen muss. Die Datenanalyse-Firma hatte unberechtigterweise Zugang zu Informationen von Dutzenden Millionen Nutzern bekommen. Diese Enthüllung hatte Facebook in die bisher schwerste Krise gestürzt. Derzeit versucht das Unternehmen zudem mit größten Anstrengungen, die Plattform vor den wichtigen Kongress-Wahlen in den USA im November gegen Manipulation von außen abzusichern. Die Facebook-Aktie fiel zum US-Handelsschluss am Freitag um rund 2,6 Prozent.

Die Schwachstelle sei bereits im Juli 2017 durch eine Kombination aus drei Software-Fehlern entstanden, erläuterte Rosen. Zunächst einmal sei eine damals neu eingeführte Funktion zum Hochladen von Videos fälschlicherweise in der später ausgenutzten Fremdansicht angezeigt worden. Das sei zwar nur vorgekommen, wenn es um Geburtstagsgrüße ging - hätte aber überhaupt nicht passieren dürfen.

Zweitens sei fälschlicherweise zugelassen worden, dass für diesen Video-Uploader auch Digitalschlüssel generiert werden konnten. Und schließlich sei dabei ein Token nicht für den Account des Nutzers erstellt worden - sondern für den des Facebooks-Freundes, aus dessen Perspektive man sich sein eigenes Profil ansehen wollte. So hätten die Hacker über das Freundesnetz Zugriff zu immer mehr Profilen bekommen können. Den Angreifern war es gelungen, diese Kombination aus mehreren Faktoren nicht nur zu entdecken, sondern auch in größerem Stil auszunutzen.

Facebook macht keine Angaben dazu, wann genau die Hacker die Token gestohlen und damit Zugriff auf die Nutzer-Profile gehabt haben könnten. Facebook habe zunächst ungewöhnlich hohe Aktivität bei einer Schnittstelle am 16. September entdeckt. Am Dienstagabend dieser Woche sei man dann sicher gewesen, dass eine Attacke laufe und habe die Sicherheitslücke bis Donnerstag gefunden und geschlossen. Neben dem FBI seien gemäß der EU-Datenschutzverordnung (DSGVO) auch Behörden in Irland eingeschaltet worden. Die DSGVO sieht bei Verstößen gegen den Datenschutz Strafen von bis zu vier Prozent des Jahresumsatzes vor.

Die Facebook-Mitteilung brachte neue Aufmerksamkeit für die Ankündigung eines Hackers aus Taiwan von Mitte der Woche, am Sonntag in einem Livestream das Facebook-Profil von Mark Zuckerberg zu löschen. Am Freitag sagte er die Übertragung dann ab und erklärte, er habe stattdessen Facebook kontaktiert./so/DP/zb

Login required

Username or email:
Password:

To use this function please log-in
If you haven't got an account on boerse-frankfurt.de, you have the opportunity to register regist here for free.

add instrument

pagehit

Die nachfolgenden Hinweise und Informationen wurden von der VOLTABOX AG (die  “Emittentin”) für die Zwecke der Veröffentlichung des Wertpapierprospekts der Emittentin erstellt. Die Deutsche Börse AG übernimmt keine Verantwortung für den Inhalt der von der Emittentin zur Verfügung gestellten Hinweise und Informationen.

 

Wichtiger Hinweis



Die auf den nachfolgenden Internetseiten enthaltenen Informationen sind ausschließlich für Personen bestimmt, die ihren Wohnsitz und gewöhnlichen Aufenthalt in der Bundesrepublik Deutschland („Deutschland“) oder im Großherzogtum Luxemburg („Luxemburg“) haben. Die nachfolgenden Informationen stellen weder ein Angebot zum Verkauf noch eine Aufforderung zur Abgabe eines Angebots zum Kauf oder zur Zeichnung von Wertpapieren dar. Ein öffentliches Angebot von Wertpapieren der Emittentin außerhalb Deutschlands und Luxemburgs findet nicht statt und ist auch nicht geplant. Das Angebot in Deutschland und Luxemburg erfolgt ausschließlich auf der Grundlage des von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) gebilligten und auf der Website der Emittentin veröffentlichten Wertpapierprospekts (einschließlich etwaiger Nachträge dazu). Eine Anlageentscheidung hinsichtlich der öffentlich angebotenen Wertpapiere der Emittentin sollte nur auf Grundlage des Wertpapierprospekts erfolgen. Der Wertpapierprospekt ist bei der Emittentin (Artegastraße 1, 33129 Delbrück, Deutschland; Tel.: +49 (0)5250 9930-900; Fax: +49 (0)5250 9762-102) und auf der Website der Emittentin (www.voltabox.ag) kostenfrei erhältlich.

Die auf den nachfolgenden Internetseiten enthaltenen Informationen stellen kein Angebot zum Verkauf oder eine Aufforderung zur Abgabe eines Angebots zum Kauf für Wertpapiere in den Vereinigten Staaten von Amerika („Vereinigte Staaten“), Kanada, Australien oder Japan dar. Die Aktien der Emittentin sowie die Wertpapiere, die Gegenstand des Angebots sind, sind und werden nicht gemäß dem U.S. Securities Act von 1933 in der derzeit gültigen Fassung (der „Securities Act“) oder bei der Wertpapieraufsichtsbehörde eines US-Bundesstaates oder einer anderen Rechtsordnung der Vereinigten Staaten registriert und dürfen in den Vereinigten Staaten nur aufgrund einer Ausnahmeregelung von der Registrierungspflicht gemäß dem Securities Act oder anwendbarer Wertpapierrechte von US-Bundesstaaten oder in einer Transaktion verkauft oder zum Kauf angeboten oder geliefert werden, die diesen Bestimmungen nicht unterfällt. Die Emittentin beabsichtigt nicht, das Angebot oder einen Teil davon in den USA zu registrieren oder ein öffentliches Angebot von Wertpapieren in den USA, Kanada, Australien oder Japan durchzuführen.

Die auf den nachfolgenden Internetseiten enthaltenen Informationen sind nicht zur Weitergabe an Personen in bzw. innerhalb der USA, Kanada, Australien oder Japan oder anderen Ländern vorgesehen, in denen kein öffentliches Angebot stattfindet. Jede Verletzung dieser Beschränkung kann einen Verstoß gegen wertpapierrechtliche Bestimmungen dieser Länder begründen. Das Kopieren, Weiterleiten oder sonstige Übermitteln der auf den nachfolgenden Internetseiten enthaltenen Informationen ist nicht gestattet.

Durch Drücken des „Ich stimme zu“-Buttons versichern Sie, dass Sie (i) diesen Hinweis und die darin enthaltenen Beschränkungen vollständig gelesen und akzeptiert haben, (ii) sich Ihr Wohnsitz und gewöhnlicher Aufenthalt in Deutschland oder Luxemburg befindet, und (iii) dass Sie die auf diesen Internetseiten enthaltenen Informationen nicht an Personen übermitteln oder weiterleiten, deren Wohnsitz und gewöhnlicher Aufenthalt sich nicht in Deutschland oder Luxemburg befindet.


We regret that, due to regulatory restrictions, we are unable to provide you with access to the following web pages.