Menlo Park – Wegen einer Sicherheitslücke bei Facebook haben Hacker auf Profile von fast 50 Millionen Nutzern zugreifen können als wären es ihre eigenen. Nach bisherigen Erkenntnissen hätten die Angreifer aber keine privaten Nachrichten abgerufen oder versucht, etwas im Namen der Betroffenen bei Facebook zu posten, betonte das Online-Netzwerk am Wochenende.
Abgeschöpft hätten die Angreifer aber Profil-Informationen wie Name, Geschlecht und Wohnort. Dadurch sei die Attacke auch erst aufgefallen. Bisher habe Facebook keinen speziellen Fokus auf bestimmte Regionen oder Nutzergruppen feststellen können. Die Angreifer hatten digitale Schlüssel zu den Accounts gestohlen, mit denen man in die Profile kommt, ohne ein Passwort eingeben zu müssen.
Potenziell gefährlich ist, dass die Hacker sich mit den erbeuteten Digitalschlüsseln auch bei anderen Online-Diensten anmelden konnten, die mit dem Facebook-Login genutzt wurden. Ob es dazu kam, ist bisher unklar. Die Option „Login mit Facebook“ bieten unter anderem Internet-Händler sowie viele andere Websites an. Das soll Nutzern den Aufwand ersparen, sich noch mehr Passwörter ausdenken zu müssen. Die Sicherheitslücke sei am Donnerstag geschlossen worden, versicherte Facebook. Zumindest gemessen an der Zahl betroffener Nutzer ist es der bisher größte bekanntgewordene Hacker-Angriff auf das Online-Netzwerk. Facebook hat insgesamt mehr als 2,2 Milliarden aktive Mitglieder.
„Wir wissen nicht, wer hinter dieser Attacke steckt“, sagte Facebooks Gründer und Chef Mark Zuckerberg in einer Telefonkonferenz. Man werde das möglicherweise auch nie erfahren, fügte Produktchef Guy Rosen hinzu. Die Angreifer hätten eine Sicherheitslücke in der Funktion ausgenutzt, mit der Facebook-Mitglieder sich ihr Profil aus der Sicht anderer Nutzer anzeigen lassen können, so Facebook. Die Schwachstelle erlaubte es ihnen demnach, sogenannte Token zu stehlen – eine Art Langzeitschlüssel, der auf einem Gerät gespeichert wird. Facebook stellte fest, dass rund 50 Millionen dieser Token gestohlen wurden. Facebook macht keine Angaben dazu, wann genau die Hacker die Token gestohlen und damit Zugriff auf die Nutzer-Profile gehabt haben könnten. dpa