Am 28.9.2018 haben wir über den Hacker-Angriff auf Facebook berichtet, von dem 50 Millionen Konten betroffen waren!

Nun hat Facebook eine technische Information zu dem Vorfall veröffentlicht, welche nicht uninteressant ist, denn im Moment erreichen uns auch viele Nutzeranfragen genau zu diesem Thema und zwar: “Warum finde ich nicht mehr den Menüpunkt *Anzeigen als…*

Facebook: Ergänzende technische Informationen

Anfang dieser Woche haben wir (Facebook) festgestellt, dass ein externer Akteur unsere Systeme angegriffen und eine Schwachstelle ausgenutzt hat. Aufgrund dieser Schwachstelle wurden Facebook-Zugriffstoken für private Konten in HTML offengelegt, nachdem unsere Systeme eine bestimmte Komponente der Funktion „Anzeigen als“ ausgeführt haben.Die Schwachstelle ergab sich aus dem Zusammenspiel dreier unterschiedlicher Fehler:

Screenshot: Facebook "Anzeigen aus der Sicht von..."
Screenshot: Facebook „Anzeigen aus der Sicht von…“

Erstens:

„Anzeigen als“ ist eine Datenschutzfunktion, die dazu dient, das Aussehen des eigenen Profils aus Sicht eines Anderen zu betrachten. „Anzeigen als“ ist als Schnittstelle ausschließlichen als Ansichtsfunktion vorgesehen. In einem bestimmten „Composer“ (das Feld, über das Du Inhalte auf Facebook posten kannst), nämlich dem zum Verfassen von Geburtstagsglückwünschen, bot „Anzeigen als“ jedoch fälschlicherweise auch die Möglichkeit, ein Video hochzuladen.

Zweitens:

Eine neue Version unseres Video-Uploaders (die Schnittstelle, die aufgrund des ersten Fehlers dargestellt wurde), die im Juli 2017 eingeführt wurde, erzeugte fälschlicherweise ein Zugriffstoken mit Zugriffsberechtigung auf die mobile Facebook-App.

Drittens:

Der zusammen mit „Anzeigen als“ aktivierte Video-Uploader generierte das Zugriffstoken nicht für Dich als Betrachter, sondern für den angegebenen Nutzer, den Du in der Funktion betrachtest.

In der so beschriebenen Weise ergaben diese drei Fehler eine Schwachstelle: Beim Einsatz der Funktion „Anzeigen als“ zum Betrachten des Profils aus Sicht eines anderen Nutzers hat der Code den Composer nicht entfernt, mit denen Du Freunden Geburtstagsglückwünsche übermitteln kannst; der Video-Uploader generierte fälschlicherweise ein Zugriffstoken; und das generierte Zugriffstoken war nicht auf Dich ausgestellt, sondern auf die Person, die Du bei „Anzeigen als“ ausgewählt hattest.

Dieses Zugriffstoken konnten die Angreifer anschließend aus dem HTML-Code der Seite extrahieren und dafür missbrauchen, um sich als ein anderer Benutzer anzumelden. Dies ermöglichte es den Angreifern, von diesem Zugriffstoken zu anderen Konten zu wechseln und durch Wiederholung dieses Vorgangs an weitere Zugriffstoken zu gelangen.

Wir haben diese Schwachstelle behoben, so dass die Konten der Menschen auf Facebook sicher sind. Zusätzlich haben wir die Zugriffstoken der fast 50 Millionen bekannten betroffenen Konten zurückgesetzt. Ergänzend haben wir vorsorglich auch die Zugriffstoken für weitere 40 Millionen Konten zurückgesetzt, auf die im letzten Jahr die Funktion „Anzeigen als“ angewendet wurde.

Als letzte Maßnahme haben wir vorübergehend die Funktion „Anzeigen als“ deaktiviert, während wir parallel eine gründliche Sicherheitsüberprüfung durchführen.

Quelle: Facebook


Wenn dir dieser Beitrag gefallen hat und du die Bedeutung fundierter Informationen schätzt, werde Teil des exklusiven Mimikama Clubs! Unterstütze unsere Arbeit und hilf uns, Aufklärung zu fördern und Falschinformationen zu bekämpfen. Als Club-Mitglied erhältst du:

📬 Wöchentlichen Sonder-Newsletter: Erhalte exklusive Inhalte direkt in dein Postfach.
🎥 Exklusives Video* „Faktenchecker-Grundkurs“: Lerne von Andre Wolf, wie du Falschinformationen erkennst und bekämpfst.
📅 Frühzeitiger Zugriff auf tiefgehende Artikel und Faktenchecks: Sei immer einen Schritt voraus.
📄 Bonus-Artikel, nur für dich: Entdecke Inhalte, die du sonst nirgendwo findest.
📝 Teilnahme an Webinaren und Workshops: Sei live dabei oder sieh dir die Aufzeichnungen an.
✔️ Qualitativer Austausch: Diskutiere sicher in unserer Kommentarfunktion ohne Trolle und Bots.

Mach mit und werde Teil einer Community, die für Wahrheit und Klarheit steht. Gemeinsam können wir die Welt ein bisschen besser machen!

* In diesem besonderen Kurs vermittelt dir Andre Wolf, wie du Falschinformationen erkennst und effektiv bekämpfst. Nach Abschluss des Videos hast du die Möglichkeit, dich unserem Rechercheteam anzuschließen und aktiv an der Aufklärung mitzuwirken – eine Chance, die ausschließlich unseren Club-Mitgliedern vorbehalten ist!


Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur Auseinandersetzung der Sache mit dem Thema.
2) Einzelne Beiträge entstanden durch den Einsatz von maschineller Hilfe und wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)