Gefunden wurde der Bug mehr oder weniger durch Zufall, als einer unserer Leser mit den Berechtigungen externer Chat-Anwendungen experimentierte. Dabei fiel ihm auf, dass für die Verwaltung der AdAccounts lediglich ein gültiger Access Token (wie ihn jede personalisierte Facebook Anwendung erhällt) ohne weitere Berechtigungen benötigte. Somit konnte theoretisch jeder Anwendungsbetreiber auf diese Daten der Anwendungsnutzer zugreifen. Ob und in welchem Umfang diese Sicherheitslücke genutzt wurde, können wir nicht sagen. Da die Ad-Verwaltung via API aber offiziell sowieso nur von ausgewählten Partnern genutzt werden kann, denken wir das diese Lücke kaum bekannt war.
Auch wenn hier keine persönlichen Daten der Facebook Nutzer betroffen waren, ist diese Sicherheitslücke doch als kritisch zu betrachten, da hier Firmengeheimnisse offen gelegt wurden. Ein Angreifer, der zum Beispiel einen Agenturmitarbeiter aus dem Bereich der Facebook Anzeigenplanung zur Verwendung seiner App animieren konnte, hatte anschließend Einblick in die verwalteten Accounts, deren Aufbau und auch Struktur der Rechnungsempfänger.
Facebook hat den Bug gegenüber uns bestätigt und umgehend beseitigt.
Auch nach der Beseitigung raten wir allerdings allen betroffenen Nutzern umgehend ihr Passwort zu ändern um eventuell aktive Token mit offline Berechtigung ungültig zu machen.
Nach Informationen eines Lesers gibt es bei Facebook derzeit ein Sicherheitsloch, welches bis heute nicht geschlossen ist. Über die Anwendungsschnittstelle (Facebook API) ist der Zugriff auf sensible Daten möglich. Um den Mißbrauch der Sicherheitslücke nicht zu fördern, möchten wir an dieser Stelle noch nicht auf Details eingehen.
Dennoch möchten wir jeden der Facebook beruflich für sein Unternehmen nutzt noch einmal eindringlich warnen alle nicht explizit vertrauenswürdige Apps aus dem eigenen Account zu entfernen. Unser Informant empfiehlt zur aktuellen Sicherheitslücke:
“Apps von unbekannten Herstellern, die beispielsweise allgemeine Dienstleistungen – wie Cover-Foto Generatoren – anbieten, stellen im Fall der Fälle das höchste Sicherheitsrisiko dar. Apps von seriösen Unternehmen – wie beispielsweise Daimler, BMW, etc. – sollten ohne großes Risiko weiter genutzt werden.“
Private Anwender sind aktuell nicht betroffen und auch wenn der Zugriff auf sensible Daten möglich ist, die Sicherheitslücke erlaubt es nicht Accounts zu übernehmen, Daten zu ändern, Schadsoftware einzuspielen oder ähnliches. Wie lange das Problem bereits besteht, ist ebenfalls nicht bekannt. Entdeckt wurde es vor einigen Tagen, es ist jedoch davon auszugehen, dass die Lücke bereits länger besteht. Der Bug wurde umgehend bei Facebook gemeldet, an einer Schließung der Lücke wird gearbeitet.
Unabhängig von der aktuellen Warnung sollte jeder sowieso diese Schritte durchführen. Für berufliche Nutzer ist es allerdings ein Muss:
Wenn Anwendungen Offline Access haben: Facebook Passwort ändern. (Dadurch werden alle “Offline Access Sessions Keys” – und somit der Zugriff durch die jeweilige App – ungültig)
Unser Informant und wir stehen in direktem Kontakt zu Facebook. Wenn der Fehler behoben wurde werden werden wir an genau dieser Stelle auch weitere Informationen veröffentlichen.
Ken Patchett, der Chef des DataCenters führt dabei durch das Gebäude und informiert auch über den Ort Prineville selbst (9000 Einwohner, 800 Mio Nutzerprofile).
Für viele Leser dienen wir wohl als zentraler Ansprechpartner für alle Facebook Probleme da wir in Bezug auf “Facebook Kontakt” wohl ziemlich gut bei Google ranken. Entsprechend sieht auch unser Posteingang aus: Support Anfragen ohne Ende. Wir können dabei leider nur auf den kleinsten Teil der Anfragen reagieren.
In letzter Zeit kam es immer öfter vor das wir Mails bekommen haben weil Nutzeraccounts auf Facebook gehackt wurden. Deshalb hier eine kurze Aufklärung: Was tun wenn der eigene Facebook gehackt wurde?
Egal was wir hier beschreiben: Bevor ihr irgendwas unternehmt, schaut ob euer PC frei von Schadsoftware ist. Ein Antivirenprogramm ist Pflicht! Wenn ihr den Grund des Hacks (Virus, Trojaner) nicht beheben könnt dann helfen auch diese Maßnahmen danach nichts. Gebt eure Login-Daten an niemand weiter, auch nicht an gute Freunde.
Generell sollten wir hier zwei unterschiedliche Fälle unterschieden:
A. Der Facebook Account wurde gehackt – aber ein Login ist möglich B. Der Facebook Account wurde gehackt – aber ein Login ist nicht möglich
Zu beiden Fällen wollen wir euch etwas Input geben. Beide Beschreibungen haben wir ohne detailgenaue Klickanleitungen zusammengestellt, da diese bei der schnellen Änderung auf Facebook eh nicht lange halten würde. Aber wir denken, dass ihr es auch so schafft:
A. Facebook Account gehackt – aber Zugriff besteht noch.
In diesem noch etwas glücklicheren Fall könnt ihr alles relativ schnell beheben. Wir würden euch empfehlen folgende Punkte durchzuarbeiten:
1. Die Grundlage – Neues (sicheres!!) Passwort
Im ersten Schritt es wichtig das ihr ein neues (sicheres) Passwort wählt. Dazu geht ihr in eure Accounteinstellungen und ändert das Passwort. Facebook zeigt euch auch an wie sicher euer Passwort ist. Am besten ihr nutzt Groß- und Kleinschreibung in Kombination mit Zahlen oder Zeichen. Achtet auch darauf, dass euer Passwort nicht bei allen Anbietern (Mail, StudiVz, Facebook, etc.) das Selbe ist. Ein wenig mehr Sicherheit bietet es schon, wenn ihr jedes Passwort minimal abwandelt oder für die wichtigsten Services jeweils ein unterschiedliches Passwort wählt. Ein Passwort aufzuschreiben und an einem sicheren Ort auf zu bewahren ist kein Verbrechen!
Facebook vergleicht diese Funktion mit dem Prinzip das wir schon aus dem realen Leben kennen: Für den Fall dass wir einmal den Haustürschlüssel vergessen oder verlieren gibt man ja gerne mal den Haustürschlüssel an besonders gute Freunde.
So ähnlich funktioniert dies nun auch auf Facebook. Generell kann man zwar ein vergessenes Passwort mit der eigenen E-Mailadresse wieder herstellen allerdings besteht in vielen Fällen, wie Beispielsweise einem Accounthack, nicht mal diese Möglichkeit. Für diesen Fall lassen sich nun auf Facebook besonders gute Freunde definieren mit denen es möglich wird wieder auf den eigenen Account zuzugreifen. Natürlich wird dabei nicht dass Passwort an die Freunde weitergegeben. Jeder Nutzer kann dabei 3-5 Freunde definieren die dabei helfen können um sich wieder auf Facebook anmelden zu können. Wird das Passwort dann vergessen auch der Zugriff auf die E-Mails besteht nicht mehr so wird an alle ausgewählten Freunde ein Code geschickt welchen man im Eingabefeld eintragen muss. Danach kann ein Nutzer wieder auf den Account zugreifen.
Ein ähnliche Funktion hat Facebook bereits mit der Bilderauthorisierung implementiert. So müssen bei dieser Sicherheitsoption die eigenen Freunde auf Bildern erkannt und markiert werden.
Die Funktion ist derzeit noch nicht für alle Verfügbar und wird noch getestet.
Passwörter für Anwendungen
Für externe Anwendungen lassen sich in Zukunft eigene Passwörter generieren. Dabei spricht Facebook nicht von Anwendungen wie Farmville, oder sonstige Spiele innerhalb von Facebook, denn hier braucht man natürlich nicht wirklich ein eigenes Passwort. Gemeint sind Passwörter für Apps oder Programme in denen man sich auch mit den normalen Logindaten anmelden kann. Also Beispielsweise Chatanwendungen wie Jabber oder auch Apps für Smartphones. Sollte mit einem dieser Dienste etwas nicht richtig funktionieren so kann einfach die Anwendung entfernen werden und auch das richtige Facebook Passwort ist nicht in Gefahr.
Um ein Passwort einzustellen muss man nur in die Kontoeinstellungen auf den Punkt Sicherheit und dort dann den Punkt “Passwörter für Anwendungen” wählen. Auch diese Funktion befindet sich derzeit im Test und ist nicht für alle Nutzer verfügbar.
