Von Guy Rosen, VP Product Management<\/i><\/p>\n
Am Dienstagnachmittag, den 25. September, entdeckte unser Team ein Sicherheitsproblem, das fast 50 Millionen Konten betrifft. Wir nehmen diesen Vorfall sehr ernst und m\u00f6chten dar\u00fcber informieren, was passiert ist und welche Ma\u00dfnahmen wir ergriffen haben, um die Sicherheit der Menschen auf Facebook zu sch\u00fctzen.<\/p>\n
Wir befinden uns mit der Aufkl\u00e4rung noch im Anfangsstadium. Allerdings ist bereits klar, dass Angreifer eine Schwachstelle im Code von Facebook im Zusammenhang mit der Funktion \u201eAnzeigen aus der Sicht von\u201c (View As) ausgenutzt haben. Diese Funktion dient dazu, das eigene Profil aus Sicht einer anderen Person zu betrachten. Im Zuge des Angriffs wurden Facebook-Zugriffstoken gestohlen, mit denen anschlie\u00dfend Konten \u00fcbernommen wurden. Zugriffstoken sind so etwas wie digitale Schl\u00fcssel, mit denen Menschen bei Facebook angemeldet bleiben, damit sie nicht bei jedem Aufruf der App ihr Passwort erneut eingeben m\u00fcssen.<\/p>\n
Die folgenden Ma\u00dfnahmen haben wir bereits ergriffen:<\/p>\n
Zun\u00e4chst haben wir die Schwachstelle behoben und Beh\u00f6rden dar\u00fcber in Kenntnis gesetzt.<\/p>\n
Zweitens haben wir die Zugriffstoken der aktuell bekannten betroffenen Konten (knapp 50 Millionen) zur\u00fcckgesetzt, um sie vor Missbrauch zu sch\u00fctzen. Erg\u00e4nzend unternehmen wir den vorsorglichen Schritt, die Zugriffstoken f\u00fcr weitere 40 Millionen Konten zur\u00fcckzusetzen, f\u00fcr die im letzten Jahr die Funktion \u201eAnzeigen aus der Sicht von\u201c angewendet wurde. Infolgedessen m\u00fcssen sich nun rund 90 Millionen Menschen bei Facebook oder einer der Apps, die Facebook-Login verwenden, erneut anmelden. Wenn sie sich wieder eingeloggt haben, wird ihnen oben im News Feed eine Meldung angezeigt, die den Vorfall erl\u00e4utert.<\/p>\n
Als dritte Ma\u00dfnahme haben wir vor\u00fcbergehend die Funktion \u201eAnzeigen aus der Sicht von\u201c deaktiviert, w\u00e4hrend wir parallel eine gr\u00fcndliche Sicherheits\u00fcberpr\u00fcfung durchf\u00fchren.<\/p>\n
Dieser Angriff nutzte das komplexe Zusammenspiel mehrerer Schwachstellen in unserem Code aus. Dies ist auf eine \u00c4nderung zur\u00fcckzuf\u00fchren, die wir an unserer Video-Upload-Funktion im Juli 2017 vorgenommen haben, welche sich wiederum auf \u201eAnzeigen aus der Sicht von\u201c auswirkte. Die Angreifer mussten diese Schwachstelle nicht nur finden und daf\u00fcr nutzen, ein Zugriffstoken zu erhalten; sie mussten dar\u00fcber hinaus von diesem Konto zu anderen wechseln, um weitere Token zu stehlen.<\/p>\n
Da wir gerade erst mit unserer Untersuchung begonnen haben, wissen wir zum aktuellen Zeitpunkt noch nicht, ob diese Konten missbraucht wurden und ob auf Informationen zugegriffen wurde. Auch wissen wir nicht, wer hinter diesen Angriffen steckt oder von wo der Angriff ausging. Wir arbeiten mit Hochdruck daran, diese Details in Erfahrung zu bringen und wir werden diesen Beitrag aktualisieren, sobald uns n\u00e4here Informationen vorliegen oder falls sich die Faktenlage \u00e4ndert. Sollten wir dar\u00fcber hinaus weitere betroffene Konten ausfindig machen, werden wir deren Zugriffstoken sofort zur\u00fccksetzen.<\/p>\n
Die Privatsph\u00e4re und Sicherheit der Menschen auf Facebook ist uns sehr wichtig und wir m\u00f6chten uns f\u00fcr diesen Vorfall entschuldigen. Wir haben umgehend Ma\u00dfnahmen ergriffen, um die betroffenen Konten zu sch\u00fctzen und die Nutzer \u00fcber die Ereignisse zu informieren. Es besteht keine Notwendigkeit, das aktuelle Kennwort zu \u00e4ndern. Alle Menschen, die sich nicht bei Facebook anmelden k\u00f6nnen \u2013 z. B. weil sie ihr Kennwort vergessen haben \u2013 finden in unserem Hilfebereich Unterst\u00fctzung. Au\u00dferdem sollten alle, die sich als Vorsichtsma\u00dfnahme von Facebook ausloggen m\u00f6chten, den Bereich \u201eSicherheit und Login\u201c in den Einstellungen aufsuchen. Dort werden alle Apps und Websites aufgef\u00fchrt, an denen unsere Nutzer \u00fcber Facebook angemeldet sind. Hier besteht zudem die M\u00f6glichkeit, sich mit einem Klick aus allen Diensten auszuloggen.<\/p>\n
<\/p>\n
Von Pedro Canahuati, VP Engineering, Security and Privacy<\/i><\/p>\n
Es folgen einige zus\u00e4tzliche technische Details zu dem zuvor beschriebenen Sicherheitsproblem.<\/p>\n
Anfang dieser Woche haben wir festgestellt, dass ein externer Akteur unsere Systeme angegriffen und eine Schwachstelle ausgenutzt hat. Aufgrund dieser Schwachstelle wurden Facebook-Zugriffstoken f\u00fcr private Konten in HTML offengelegt, nachdem unsere Systeme eine bestimmte Komponente der Funktion \u201eAnzeigen als\u201c ausgef\u00fchrt haben.Die Schwachstelle ergab sich aus dem Zusammenspiel dreier unterschiedlicher Fehler:<\/p>\n
Erstens: <\/b>\u201eAnzeigen als\u201c ist eine Datenschutzfunktion, die dazu dient, das Aussehen des eigenen Profils aus Sicht eines Anderen zu betrachten. \u201eAnzeigen als\u201c ist als Schnittstelle ausschlie\u00dflichen als Ansichtsfunktion vorgesehen. In einem bestimmten \u201eComposer\u201c (das Feld, \u00fcber das Du Inhalte auf Facebook posten kannst), n\u00e4mlich dem zum Verfassen von Geburtstagsgl\u00fcckw\u00fcnschen, bot \u201eAnzeigen als\u201c jedoch f\u00e4lschlicherweise auch die M\u00f6glichkeit, ein Video hochzuladen.<\/p>\n
Zweitens: <\/b>Eine neue Version unseres Video-Uploaders (die Schnittstelle, die aufgrund des ersten Fehlers dargestellt wurde), die im Juli 2017 eingef\u00fchrt wurde, erzeugte f\u00e4lschlicherweise ein Zugriffstoken mit Zugriffsberechtigung auf die mobile Facebook-App.<\/p>\n
Drittens:<\/b> Der zusammen mit \u201eAnzeigen als\u201c aktivierte Video-Uploader generierte das Zugriffstoken nicht f\u00fcr Dich als Betrachter, sondern f\u00fcr den angegebenen Nutzer, den Du in der Funktion betrachtest.<\/p>\n
In der so beschriebenen Weise ergaben diese drei Fehler eine Schwachstelle: Beim Einsatz der Funktion \u201eAnzeigen als\u201c zum Betrachten des Profils aus Sicht eines anderen Nutzers hat der Code den Composer nicht entfernt, mit denen Du Freunden Geburtstagsgl\u00fcckw\u00fcnsche \u00fcbermitteln kannst; der Video-Uploader generierte f\u00e4lschlicherweise ein Zugriffstoken; und das generierte Zugriffstoken war nicht auf Dich ausgestellt, sondern auf die Person, die Du bei \u201eAnzeigen als\u201c ausgew\u00e4hlt hattest.<\/p>\n
Dieses Zugriffstoken konnten die Angreifer anschlie\u00dfend aus dem HTML-Code der Seite extrahieren und daf\u00fcr missbrauchen, um sich als ein anderer Benutzer anzumelden. Dies erm\u00f6glichte es den Angreifern, von diesem Zugriffstoken zu anderen Konten zu wechseln und durch Wiederholung dieses Vorgangs an weitere Zugriffstoken zu gelangen.<\/p>\n
Wir haben diese Schwachstelle behoben, so dass die Konten der Menschen auf Facebook sicher sind. Zus\u00e4tzlich haben wir die Zugriffstoken der fast 50 Millionen bekannten betroffenen Konten zur\u00fcckgesetzt. Erg\u00e4nzend haben wir vorsorglich auch die Zugriffstoken f\u00fcr weitere 40 Millionen Konten zur\u00fcckgesetzt, auf die im letzten Jahr die Funktion \u201eAnzeigen als\u201c angewendet wurde. Als letzte Ma\u00dfnahme haben wir vor\u00fcbergehend die Funktion \u201eAnzeigen als\u201c deaktiviert, w\u00e4hrend wir parallel eine gr\u00fcndliche Sicherheits\u00fcberpr\u00fcfung durchf\u00fchren.<\/p>\n
<\/p>\n","protected":false},"excerpt":{"rendered":"Von Guy Rosen, VP Product Management Am Dienstagnachmittag, den 25. September, entdeckte unser Team ein Sicherheitsproblem, das fast 50 Millionen Konten betrifft. Wir nehmen diesen Vorfall sehr ernst und m\u00f6chten dar\u00fcber informieren, was passiert ist und welche Ma\u00dfnahmen wir ergriffen haben, um die Sicherheit der Menschen auf Facebook zu sch\u00fctzen. Wir befinden uns mit der Aufkl\u00e4rung noch im Anfangsstadium. Allerdings ist bereits klar, dass Angreifer eine Schwachstelle im Code von Facebook im Zusammenhang mit der Funktion \u201eAnzeigen aus der Sicht von\u201c (View As) ausgenutzt haben. Diese Funktion dient dazu, das eigene Profil aus Sicht einer anderen Person zu betrachten. Im Zuge des Angriffs wurden Facebook-Zugriffstoken gestohlen, mit denen anschlie\u00dfend Konten \u00fcbernommen wurden. Zugriffstoken sind so etwas wie digitale Schl\u00fcssel, mit denen Menschen bei Facebook angemeldet bleiben, damit sie nicht bei jedem Aufruf der App ihr Passwort erneut eingeben m\u00fcssen. Die folgenden Ma\u00dfnahmen haben wir bereits ergriffen: Zun\u00e4chst haben wir die Schwachstelle behoben und Beh\u00f6rden dar\u00fcber in Kenntnis gesetzt. Zweitens haben wir die Zugriffstoken der aktuell bekannten betroffenen Konten (knapp 50 Millionen) zur\u00fcckgesetzt, um sie vor Missbrauch zu sch\u00fctzen. Erg\u00e4nzend unternehmen wir den vorsorglichen Schritt, die Zugriffstoken f\u00fcr weitere 40 Millionen Konten zur\u00fcckzusetzen, f\u00fcr die im letzten Jahr die Funktion \u201eAnzeigen aus der Sicht von\u201c angewendet wurde. Infolgedessen m\u00fcssen sich nun rund 90 Millionen Menschen bei Facebook oder einer der Apps, die Facebook-Login verwenden, erneut anmelden. Wenn sie sich wieder eingeloggt haben, wird ihnen oben im News Feed eine Meldung angezeigt, die den Vorfall erl\u00e4utert. Als dritte Ma\u00dfnahme haben wir vor\u00fcbergehend die Funktion \u201eAnzeigen aus der Sicht von\u201c deaktiviert, w\u00e4hrend wir parallel eine gr\u00fcndliche Sicherheits\u00fcberpr\u00fcfung durchf\u00fchren. Dieser Angriff nutzte das komplexe Zusammenspiel mehrerer Schwachstellen in unserem Code aus. Dies ist auf eine \u00c4nderung zur\u00fcckzuf\u00fchren, die wir an unserer Video-Upload-Funktion im Juli 2017 vorgenommen haben, welche sich wiederum auf \u201eAnzeigen aus der Sicht von\u201c auswirkte. Die Angreifer mussten diese Schwachstelle nicht nur finden und daf\u00fcr nutzen, ein Zugriffstoken zu erhalten; sie mussten dar\u00fcber hinaus von diesem Konto zu anderen wechseln, um weitere Token zu stehlen. Da wir gerade erst mit unserer Untersuchung begonnen haben, wissen wir zum aktuellen Zeitpunkt noch nicht, ob diese Konten missbraucht wurden und ob auf Informationen zugegriffen wurde. Auch wissen wir nicht, wer hinter diesen Angriffen steckt oder von wo der Angriff ausging. Wir arbeiten mit Hochdruck daran, diese Details in Erfahrung zu bringen und wir werden diesen Beitrag aktualisieren, sobald uns n\u00e4here Informationen vorliegen oder falls sich die Faktenlage \u00e4ndert. Sollten wir dar\u00fcber hinaus weitere betroffene Konten ausfindig machen, werden wir deren Zugriffstoken sofort zur\u00fccksetzen. Die Privatsph\u00e4re und Sicherheit der Menschen auf Facebook ist uns sehr wichtig und wir m\u00f6chten uns f\u00fcr diesen Vorfall entschuldigen. Wir haben umgehend Ma\u00dfnahmen ergriffen, um die betroffenen Konten zu sch\u00fctzen und die Nutzer \u00fcber die Ereignisse zu informieren. Es besteht keine Notwendigkeit, das aktuelle Kennwort zu \u00e4ndern. Alle Menschen, die sich nicht bei Facebook anmelden k\u00f6nnen \u2013 z. B. weil sie ihr Kennwort vergessen haben \u2013 finden in unserem Hilfebereich Unterst\u00fctzung. Au\u00dferdem sollten alle, die sich als Vorsichtsma\u00dfnahme von Facebook ausloggen m\u00f6chten, den Bereich \u201eSicherheit und Login\u201c in den Einstellungen aufsuchen. Dort werden alle Apps und Websites aufgef\u00fchrt, an denen unsere Nutzer \u00fcber Facebook angemeldet sind. Hier besteht zudem die M\u00f6glichkeit, sich mit einem Klick aus allen Diensten auszuloggen. Erg\u00e4nzende technische Informationen Von Pedro Canahuati, VP Engineering, Security and Privacy Es folgen einige zus\u00e4tzliche technische Details zu dem zuvor beschriebenen Sicherheitsproblem. Anfang dieser Woche haben wir festgestellt, dass ein externer Akteur unsere Systeme angegriffen und eine Schwachstelle ausgenutzt hat. Aufgrund dieser Schwachstelle wurden Facebook-Zugriffstoken f\u00fcr private Konten in HTML offengelegt, nachdem unsere Systeme eine bestimmte Komponente der Funktion \u201eAnzeigen als\u201c ausgef\u00fchrt haben.Die Schwachstelle ergab sich aus dem Zusammenspiel dreier unterschiedlicher Fehler: Erstens: \u201eAnzeigen als\u201c ist eine Datenschutzfunktion, die dazu dient, das Aussehen des eigenen Profils aus Sicht eines Anderen zu betrachten. \u201eAnzeigen als\u201c ist als Schnittstelle ausschlie\u00dflichen als Ansichtsfunktion vorgesehen. In einem bestimmten \u201eComposer\u201c (das Feld, \u00fcber das Du Inhalte auf Facebook posten kannst), n\u00e4mlich dem zum Verfassen von Geburtstagsgl\u00fcckw\u00fcnschen, bot \u201eAnzeigen als\u201c jedoch f\u00e4lschlicherweise auch die M\u00f6glichkeit, ein Video hochzuladen. Zweitens: Eine neue Version unseres Video-Uploaders (die Schnittstelle, die aufgrund des ersten Fehlers dargestellt wurde), die im Juli 2017 eingef\u00fchrt wurde, erzeugte f\u00e4lschlicherweise ein Zugriffstoken mit Zugriffsberechtigung auf die mobile Facebook-App. Drittens: Der zusammen mit \u201eAnzeigen als\u201c aktivierte Video-Uploader generierte das Zugriffstoken nicht f\u00fcr Dich als Betrachter, sondern f\u00fcr den angegebenen Nutzer, den Du in der Funktion betrachtest. In der so beschriebenen Weise ergaben diese drei Fehler eine Schwachstelle: Beim Einsatz der Funktion \u201eAnzeigen als\u201c zum Betrachten des Profils aus Sicht eines anderen Nutzers hat der Code den Composer nicht entfernt, mit denen Du Freunden Geburtstagsgl\u00fcckw\u00fcnsche \u00fcbermitteln kannst; der Video-Uploader generierte f\u00e4lschlicherweise ein Zugriffstoken; und das generierte Zugriffstoken war nicht auf Dich ausgestellt, sondern auf die Person, die Du bei \u201eAnzeigen als\u201c ausgew\u00e4hlt hattest. Dieses Zugriffstoken konnten die Angreifer anschlie\u00dfend aus dem HTML-Code der Seite extrahieren und daf\u00fcr missbrauchen, um sich als ein anderer Benutzer anzumelden. Dies erm\u00f6glichte es den Angreifern, von diesem Zugriffstoken zu anderen Konten zu wechseln und durch Wiederholung dieses Vorgangs an weitere Zugriffstoken zu gelangen. Wir haben diese Schwachstelle behoben, so dass die Konten der Menschen auf Facebook sicher sind. Zus\u00e4tzlich haben wir die Zugriffstoken der fast 50 Millionen bekannten betroffenen Konten zur\u00fcckgesetzt. Erg\u00e4nzend haben wir vorsorglich auch die Zugriffstoken f\u00fcr weitere 40 Millionen Konten zur\u00fcckgesetzt, auf die im letzten Jahr die Funktion \u201eAnzeigen als\u201c angewendet wurde. Als letzte Ma\u00dfnahme haben wir vor\u00fcbergehend die Funktion \u201eAnzeigen als\u201c deaktiviert, w\u00e4hrend wir parallel eine gr\u00fcndliche Sicherheits\u00fcberpr\u00fcfung durchf\u00fchren. ","protected":false},"author":119732082,"featured_media":9854,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[243889734,555973258,30697048],"tags":[],"class_list":["post-9853","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-produktnachrichten","category-sicherheit-und-privatsphaere","category-unternehmensmeldungen"],"yoast_head":"\n