naito8 - stock.adobe.com
Was der Facebook-Datenskandal für Unternehmen bedeutet
Durch eine verkettete Schwachstelle wurden fast 50 Millionen Facebook-Konten kompromittiert. Was bedeutet der jüngste Facebook-Datenskandal für User und Unternehmen?
Wer in den 80er Jahren geboren wurde, kennt die Bedeutung der in Chats benutzten Abkürzung AFK. Jüngere haben keine Ahnung, was es heißt. Je jünger Sie sind, desto besser stehen die Chancen, dass Sie Facebook nutzen, den Facebook Messenger auf verschiedenen Geräten nutzen und sich nie von Ihrem Konto abmelden. Mit anderen Worten: „Away from Keyboard“ (AFK), das war gestern, heute ist man „always on“.
Und das schien völlig in Ordnung, bis sich fast 90 Millionen Nutzer von Facebook abgemeldet vorfanden, um dem scheinbar schlimmsten Datenschutzfehler des sozialen Netzwerks vorzubeugen. (Ja, wir haben von Cambridge Analytica und den weiteren Geschichten gehört): Wie Facebook Ende September 2018 bekannt gab, wurden fast 50 Millionen Konten durch eine verkettete Schwachstelle in der View-As-Funktion kompromittiert. Sie ermöglichte es einer unbekannten Partei, Authentifizierungstoken dieser 50 Millionen Benutzer abzurufen. Diese Authentifizierungstoken ermöglichen es einem User, im Konto angemeldet zu bleiben, wenn er die Browser-Seite aktualisiert, den Computer neu startet oder in den Ruhezustand versetzt.
Zugriff ohne Anmeldeprozess
Solange jemand über diesen Token verfügt, erhält er Zugriff auf das betroffene Konto, ohne den Anmeldeprozess durchlaufen zu müssen. Wer diesen Token besitzt, ist von der Durchführung des Anmeldevorgangs ausgenommen – und das gilt natürlich auch für denjenigen, der sich den Token durch die genannte Schwachstelle erbeutet hat.
Bis auf die Tatsache, dass Facebook vorerst die View-as-Funktion deaktiviert hat, sind kaum zusätzliche Informationen über diesen Vorfall bekannt. Anlass zur Beunruhigung gibt die Tatsache, dass bislang weder eine Bug-Bounty-Belohnung ausgesetzt wurde, noch die Meldung der Schwachstelle durch einen White Hat Hacker bekannt ist. Dies lässt vermuten, dass tatsächlich ein Dritter mit mindestens 50 Millionen Zugriffstoken für die entsprechende Zahl an Konten davon spaziert ist.
Facebook ist die größte IM-Plattform ohne Ende-zu-Ende-Verschlüsselung
Und es wird noch schmerzhafter: Laut Statista ist Facebook Messenger mit fast 1,3 Milliarden aktiven Nutzern die zweitgrößte Instant-Messaging-Plattform der Welt. Damit nicht genug: Es ist auch die weltweit größte Instant Messaging-Plattform, bei der die Ende-zu-Ende-Verschlüsselung standardmäßig nicht aktiviert ist. Das bedeutet, dass der Chat-Verlauf immer und von jedem Computer aus verfügbar ist, auf dem sich jemand anmeldet, es sei denn, der User hat die Option „Secret Conversations“ manuell aktiviert. Um den Hackern den Zugriff auf die Nutzerdaten zu versperren, hat Facebook das Zugriffstoken sowohl der 50 Millionen bestätigten kompromittierten wie auch der 40 Millionen Konten, die im Verdacht stehen, kompromittiert zu sein, als ungültig deklariert. Aus diesem Grund mussten sich viele Facebook-User vielleicht zum ersten Mal seit Jahren wieder bei dem sozialen Netzwerk anmelden.
„Zwar kann man den jüngsten Datendiebstahl nicht ungeschehen machen, aber man kann diesen zum Anlass nehmen, seinen Umgang mit sozialen Netzwerken zu überdenken.“
Bob Botezatu, Bitdefender
Bei Nutzern, die ohne ersichtlichen Grund von Facebook abgemeldet wurden, besteht eine hohe Wahrscheinlichkeit, dass sie zu denjenigen gehören, deren Konten gehackt wurden. Im Moment gibt es keine Gewissheit, was genau die Hacker in die Finger bekommen haben. Angesichts der Komplexität des Bugs und des unbekannten Zeitraums in dem er genutzt wurde, muss man mit dem Schlimmsten rechnen. Das heißt, private Beiträge, Gespräche und alle Informationen, wie Check-ins, Bilder, die per Chat verschickt werden, und so weiter, standen vermutlich Dritten zur Verfügung.
Wenn Daten wie diese irgendwann nach einem „Datendump“ öffentlich werden, zerbrechen Ehen, Freundschaften enden abrupt und sensible Bilder überfluten das Internet. Für einige Menschen wird das Leben womöglich nie wieder so sein wie früher, nur wegen eines scheinbar kleinen Fehlers in einer Plattform.
Für viele Unternehmen ein Datenverstoß nach der DSGVO
Auch Unternehmen, die den Facebook Messenger für Supportzwecke oder Business-to-Consumer-Interaktionen verwenden und von ihrem Konto abgemeldet wurden, sollten ermitteln, welche Informationen über das Medium ausgetauscht wurden, und Kunden informieren. Dieser Vorfall ist offensichtlich ein Datenverstoß im Sinne der DSGVO und sollte auch als solcher behandelt werden.
Und was kann man daraus lernen? Soziale Netzwerke sind zum Kernstück unseres digitalen Lebens geworden, das sich immer weiter mit dem physischen Leben verknüpft – die Grenze verschwimmt. Sie können noch weit mehr, als „nur“ unser Einkaufsverhalten zu beeinflussen oder eine wichtige Wahl zu manipulieren: Auf Grundlage privater sozialer Interaktionen können durch die Nutzung mitunter schwerwiegende Konsequenzen für den eigenen persönlichen Lebensstil und die Geschäftstätigkeit entstehen.
Vier Vorsichtsmaßnahmen
Zwar kann man den jüngsten Datendiebstahl nicht ungeschehen machen, aber man kann diesen zum Anlass nehmen, seinen Umgang mit sozialen Netzwerken zu überdenken. Ob Privatuser oder Unternehmen, die folgenden Vorsichtsmaßnahmen können größeren Schaden verhindern:
- Die jüngsten Ereignisse haben unter Beweis gestellt, dass soziale Netzwerke keine sicheren Orte sind. Persönliche Geheimnisse und sensible Daten sind dort also nicht gut aufgehoben.
- Dinge, die nicht einer breiten Öffentlichkeit bekannt werden sollen- und sei es auch in einem Datenskandal in ferner Zukunft – sollten auf sozialen Netzwerken nicht geteilt, gepostet, oder besprochen werden.
- Es sollte in den Kontoeinstellungen sichergestellt werden, dass die Ende-zu-Ende-Verschlüsselung aktiviert ist.
- Für sensible Chats sollte auf Instant-Messaging-Clients, die den höchsten Datenschutz bieten, wie beispielsweise Signal, ausgewichen werden.
Über den Autor:
Bob Botezatu ist leitender Bedrohungsanalyst bei Bitdefender.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!
