50 Millionen Facebook-Konten gehackt
50 Millionen Facebook-Konten gehacktDer als „wissenschaftliches“ Experiment getarnte Cambridge-Analytica-Hack von Anfang April dieses Jahres ist den Facebook-Usern noch immer in böser Erinnerung, und schon wieder haben Hacker bis letzten Dienstag ca. 50 Millionen Facebook-Konten gehackt und persönliche Informationen der betroffenen Nutzer wie Name, Geschlecht und Wohnort abgerufen – auch vom Konto des Facebook-Chefs Mark Zuckerberg.
Durch diese Datenabrufe soll die Attacke ja auch am letzten Dienstag aufgefallen sein. Facebook hat angeblich bei dem Angriff keinen bestimmten Ziele wie beispielsweise bestimmte Regionen oder Nutzergruppen feststellen können.
Die Angreifer sollen bei dem Hack eine dreifache Sicherheitslücke in der „Anzeigen aus der Sicht von„-Funktion ausgenutzt, die dafür gedacht ist, dass sich Facebook-Mitglieder ihr eigenes Profil aus der Sicht anderer Nutzer anzeigen lassen können, erklärte das „Soziale Netzwerk“ (Anmerkung des Verfassers: Dieser Ausdruck ist kein Lob, sondern inzwischen ein Schimpfwort) das Einfallstor der Hacker.
Drei Sicherheitslücken führten zum Daten-GAU
Die genutzte Sicherheitslücke ist wohl schon im Juli 2017 durch die Kombination von drei verschiedenen Softwarefehlern im Zusammenspiel mit dem Video-Upload-Tool entstanden, erläuterte Produktchef Guy Rosen.
Die erste Tür: Wie ein Dritter Sehen war gefragt, nicht handeln
Dabei habe man den Fehler gemacht, dass der Video-Uploader in der „Anzeigen aus der Sicht von“-Ansicht vorhanden und aktiv ist, um bestimmte Posts wie beispielsweise Geburtstagsgrüße abzusetzen.
Die Zweite Tür: Einmal-Eintrittskarte vom Video-Uploader
Der zweite Fehler habe darin bestanden, dass der Uploader ein Single-Sign-on-Token (nur einmal gültiger Zugang) erzeugt habe, was laut Rosen auch nicht zulässig war.
Die dritte Tür: Token vom falschen Account erzeugt
Das größte Problem war aber der dritte Bug im Spiel: Der Uploader erzeugte nicht etwa ein Token des handelnden Nutzers, sondern eines derjenigen Person, aus deren Sicht sich der Nutzer seine eigene Seite ansah.
Drei Stufen der Inkompetenz bei Facebooks Software-Design
Diese drei einander potenzierenden Schwachstellen waren also über ein Jahr lang im Facebook-System, ohne dass die Software-Wartung sie bemerkte. Die Hacker fanden nicht nur die einzelnen Bugs, sondern sogar die Kombinierbarkeit der Bugs zum Generalschlüssel für jedes Facebook-Konto heraus – sie waren ja offensichtlich sogar auch in der Lage, diese Zugänge dann millionenfach auszunutzen.
Da kommen bei einem Analysator und Programmierer der ersten Stunde wie mir schon starke Zweifel auf, ob diese sich gegenseitig weiterhelfenden Stepstones (Trittsteine) zu den Kundendaten wirklich alle drei „Versehen“ oder „Programmierfehler“ sind, oder ob der Triple-Gateway zu den Kundendaten nicht vorsätzlich eingebaut wurden.
„Mach Dich nackig, Du Sau!“
Möglicherweise für vertrauenswürdige und unabweisbare „Freunde“ wie NSA, CIA & Co., vielleicht aber auch „nur“ für ein weiteres „wissenschaftliches“ Experiment der Datendiebe von Facebook zur datentechnischen Nacktheit.
In dem Fall kann man schon auf das nächste Glied der Kette von Datendiebstählen warten. Daher mein dringender Rat an alle Nutzer solcher Plattformen:
