Weitere Details zum Facebook-Hack: Keine Hinweise auf Einbruch bei anderen Diensten
Facebook hat den Diebstahl von 50 Millionen Zugangstokens untersucht. Demnach gibt es keine Anzeichen, dass die Angreifer sie bei anderen Diensten nutzten.
(Bild: dpa, Fabian Sommer)
Nach der Mitteilung von Ende September, laut der Angreifer über eine Lücke in der "View As"-Funktion die Access Tokens von 50 Millionen Nutzern abgreifen konnten, hat Facebook jetzt Details zum Angriff und den Auswirkungen veröffentlicht.
Demnach wurden die gestohlenen Tokens zurückgesetzt. Für den Zugriff auf Facebook selbst sind sie damit unbrauchbar. Betroffene Benutzer konnten das daran erkennen, dass sie sich erneut anmelden mussten. Da Facebooks Anmeldesystem auch von anderen Anbietern zum Login benutzt werden kann, ist das Problem aber nicht aus der Welt.
Offizielles SDK verwenden
Zwar gibt Facebook an, dass man nach der Durchsicht der Logs keine Anzeichen finden konnte, dass die Tokens für Dienste von Drittanbietern genutzt wurden. Entwicklern, die Facebook zur Authentifizierung einsetzen, rät man dennoch, eines der offiziellen SDKs zu nutzen. Anders als eigene Implementierungen prüfe damit geschriebene Software regelmäßig bei Facebook, ob ein Token noch gültig sei.
Setzen Entwickler dagegen auf eigene Lösungen, könne das Zurücksetzen der Zugangsschlüssel durch Facebook unwirksam bleiben, sofern die Angreifer sich rechtzeitig eingeloggt haben.
Vom Angriff betroffen waren vorwiegend Facebook-Nutzer außerhalb der EU. Immer wieder zeigt sich, dass das Auslagern von Authentifizierungsdiensten an Dienstleister neue Probleme mit sich bringen kann. Erst Ende September kam es zu einem längeren Ausfall von Microsofts Anmeldedienst Azure Active Directory nach einem Blitzeinschlag. (jam)
