Es gibt ein Update im Facebook-Leak. Das Unternehmen gab nun bekannt, dass die gestohlenen Access-Token der betroffenen Facebook-Profile nicht dazu missbraucht wurden, Zugang zu anderen Webseiten oder Apps – mittels Facebook-Login – zu erlangen.
Die Meldung folgte der Bekanntmachung eines Datenlecks, mit Hilfe dessen sich Unbekannte Zugang zu Access-Token von etwa 50 Millionen Usern verschafften. Sie nutzten eine Sicherheitslücke in dem „View as“-Feature bei Facebook.
Daraufhin erklärte Facebook die Token für ungültig. Davon waren außerdem zusätzliche 40 Millionen Konten betroffen, die als gefährdet galten. Ein Großteil der Bedenken bezüglich des Vorfalls rührte von der Gefahr her, dass die gestohlenen Token nicht nur ein Zugangstor zu den Facebook-Accounts öffneten, sondern auch zu verknüpften Konten, welche Facebooks Single-Sign-On nutzen.
„Wir haben jetzt unsere Logs über alle – während des Angriffs – von Drittanbietern installierten oder eingeloggten Apps analysiert. Die Untersuchung zeigte bisher keine Beweise dafür, dass den Cyber-Angreifern der Zugang zu irgendwelchen Apps mit Hilfe des Facebook-Logins gelang.“
Laut Forschern der University of Illinois in Chicago gibt es nicht weniger als 42.000 Webseiten, die den Facebook Single Sign-On verwenden. Anhand dieser Zahl lassen sich die möglichen Auswirkungen abschätzen. Zu den Webseiten zählen auch andere große Plattformen wie Spotify, Tinder, AirBnb, oder das zu Facebook gehörende Instagram. Axios verbreitete die Meldung, dass es bei Tinder keine Anzeichen für unzulässige Konto-Anmeldungen durch die gestohlenen Facebook-Daten gibt.
In der neusten Meldung seitens Facebook heißt es, dass Webseiten-Entwickler, welche Facebooks offizielle Developments Kits verwenden oder regelmäßig den Status der Access-Token prüfen, durch das Zurücksetzen der Token durch Facebook automatisch geschützt sind. Für die Fälle, in denen die Entwickler die Facebook-Devkits nicht verwenden, möchte das Unternehmen ein Tool zur Verfügung stellen. Die möglicherweise betroffenen Benutzer von Drittanbieter-Apps können damit manuell identifiziert und abgemeldet werden.
UPDATE Facebook data breach - @DPCIreland understands that the number of potentially affected EU accounts is less than 10% of the 50 million accounts in total potentially affected by the security breach. DPC Ireland statement beneath. #dataprotection #GDPR #EUdataP pic.twitter.com/oSfGy6DP2S
— Data Protection Commission Ireland (@DPCIreland) October 1, 2018
Unterdessen berichtet Poltico, dass Facebook aufgrund der EU-Datenschutz-Grundverordnung (DSGVO), die den EU-Bürgern mehr Rechte beim Datenschutz einräumt, eine offizielle Untersuchung droht – und möglicherweise hohe Strafen bevorstehen. Die Untersuchung würde sich darauf konzentrieren, ob Facebook "die Daten zu schlecht verwaltete, sodass Hacker auf die Online-Profile von Millionen von Facebook-Nutzern zugreifen konnten", heißt es auf der Website.
Die Untersuchung würde von der irischen Datenschutzkommission (Data Protection Commission, DPC) durchgeführt, welche die Datenschutzaufsichtsbehörde für Facebook in der EU ist. Die DPC twitterte am Montag, dass weniger als zehn Prozent der 50 Millionen betroffenen User in der EU leben. Facebook hat 370 Millionen aktive Nutzer pro Monat in Europa.
Facebooks finale Untersuchungen sind noch nicht abgeschlossen. Facebook-User sollten nun besondere Vorsicht bei ihrem Konto und allen damit verknüpften Apps und Webseiten walten lassen. Das gilt auch dann, wenn man nicht zu den Opfern zählt und unabhängig davon, wo auf der Welt man lebt.
Das Ein- und Ausloggen reicht, um den Access-Token zurückzusetzen. In diesem Zug lohnt sich auch ein kurzer Blick in die Sicherheitseinstellungen. Hier sollten die User besonders den „zuletzt eingeloggt“-Abschnitt beachten.