Das kürzlich bekannt gewordene Datenleck bei Facebook ist weniger breit aber tiefgreifender als das Unternehmen zunächst ankündigte. Mehrere Wochen lang konnten Unbefugte teils hochsensible Daten von 30 Millionen Nutzer*innen sammeln. Weitere unbemerkte Angriffe sind nicht ausgeschlossen. Eine Zusammenfassung.

Facebook hat mit einem weiteren Datenleck zu kämpfen. Monatelang ließen sich teils hochsensible Daten von insgesamt 30 Millionen Nutzer*innen abgreifen. Entdeckt hat Facebook die gravierende Sicherheitslücke erst, als sie bereits ausgenutzt wurde. Am 14. September wurde das Unternehmen auf eine ungewöhnliche Aktivität auf seiner Plattform aufmerksam. Dass es sich um einen Hackerangriff handelte, bemerkte Facebook knapp zwei Wochen später. Zwei weitere Tage benötigte das Unternehmen, um das Datenleck zu schließen. Seitdem werde „rund um die Uhr“ an der Aufarbeitung des Falls gearbeitet, wie Facebook am Freitag bekannt gab.

30 Millionen Profile sind nach Angaben des Unternehmens betroffen. Bei einer Million wurden offenbar keine Daten abgegriffen. Von den restlichen 29 Millionen wurden Namen und Kontaktinformationen inklusive Handynummern und Emailadressen erbeutet, sofern diese verfügbar waren. Bei 14 Millionen Accounts wurden darüber hinaus weitere höchst sensible Daten erbeutet. Dazu zählen: Angaben zu Geschlecht, Sprache, Beziehungsstatus, Religion, Herkunftsstadt, Wohnort, Geburtsdatum, Bildung und Arbeitsplatz. Außerdem eine Liste der Seiten, denen die Personen folgen, und ihre fünfzehn letzten Suchanfragen auf der Plattform. Zudem erhielten die Hacker die Liste mit den zehn letzten Orten, an denen sich die Betroffenen angemeldet haben oder an denen sie von anderen Leuten in Bildern markiert wurden.

Fehlerhafte Funktion nun deaktiviert

Laut Facebook soll eine Kombination aus drei voneinander unabhängigen Software-Fehlern zu der Sicherheitslücke geführt haben. Eine wesentliche Rolle spielte dabei die Funktion „Anzeigen aus der Sicht von…“, die den Zugriff auf sogenannte Access Tokens von Profilen ermöglichte. Solche Access Tokens funktionieren praktisch wie Passwörter und ermöglichen die Übernahme der entsprechenden Profile. Die Funktion „Anzeigen aus der Sicht von…“ wurde nun sicherheitshalber deaktiviert.

Die riesige Datenmenge wurde ausgehend von einer Kerngruppe von 400.000 gehackten Profilen erlangt. Bei dieser Gruppe betraf der Angriff noch detailliertere Informationen wie beispielsweise Posts auf der Chronik, Freundeslisten, Gruppen-Mitgliedschaften und Personen, mit denen gerade Messenger-Konversationen geführt wurden. Konversationsinhalte waren Facebook zufolge überwiegend nicht zugänglich. Nur bei Personen, die selbst Admins einer Seite sind, konnten Nachrichten, die sich an diese Seite richten, heruntergeladen werden.

Weitere Datenlecks nicht ausgeschlossen

Potenziell konnten über die Sicherheitslücke seit Juli 2018 Daten abgegriffen werden. Derzeit kann nicht ausgeschlossen werden, dass es in der Vergangenheit schon kleinere Angriffe gegeben hat, die nicht aufgefallen sind. Das will Facebook weiter überprüfen. Außerdem arbeitet das Unternehmen mit dem FBI zusammen, um die Verantwortlichen für den großen Angriff Mitte September zu finden.

Die Betroffenen werden jetzt kontaktiert. Wer noch keine Nachricht erhalten hat, kann auch über diese Seite selbst kontrollieren, ob Daten abgegriffen wurden. Da Personen im europäischen Raum betroffen sind, hat Irland – dort befindet sich Facebooks Hauptsitz in Europa – bereits Ermittlungen eingeleitet. Diese Ermittlungen sind laut der Digital-NGO European Digital Rights (EDRi) gerade jetzt besonders wichtig: