Ihr Konto auf Facebook – und Websites, die Facebook-Login verwenden – könnten kompromittiert werden. Hier ist, was wir wissen.

Jaap Arriens / Getty Images

AKTUALISIEREN

02.10.2018, 22:46 Uhr

In ein Blogbeitrag , Guy Rosen, Facebook VP of Product Management, räumte ein, dass einige Drittanbieter-Apps, die Facebook Login verwenden, einschließlich solcher, die keine offiziellen Facebook-SDKs verwenden oder regelmäßig überprüfen, ob Facebook-Zugriffstoken gültig sind, Benutzer möglicherweise immer noch offenlegen.



'Wir bauen ein Tool, mit dem Entwickler die möglicherweise betroffenen Benutzer ihrer Apps manuell identifizieren können, damit sie sie abmelden können', schrieb Rosen. Er hat nicht erwähnt, wann das Tool verfügbar sein wird.

Facebook hat kürzlich bekannt gegeben, dass die Sicherheit von 50 Millionen Profile wurde kompromittiert, als Angreifer Zugriffstoken stahlen, die es ihnen ermöglichten, in diese Konten einzudringen.

Facebook entdeckte den Verstoß am Dienstag, den 25. September, und setzte die Zugriffstoken zurück, wodurch die Benutzer gezwungen wurden, sich am Donnerstag, den 27. September, wieder bei ihren Konten anzumelden. Das Unternehmen gab den Angriff letzten Freitag bekannt.



Zusätzlich zu Facebook-Konten können die gestohlenen Zugriffstoken auch Konten auf Websites von Drittanbietern kompromittieren, die Facebook Login verwenden.

Einige Leute sind sich nicht sicher, was das für die Sicherheit ihrer Facebook-Konten bedeutet, daher hier eine Aufschlüsselung von allem, was wir wissen.

Erstens ist es wahrscheinlich, dass Sie von der Verletzung betroffen waren.

Facebook hat die Zugriffstoken von 50 Millionen kompromittierten Konten zurückgesetzt und vorsorglich weitere 40 Millionen Konten zurückgesetzt, von denen es glaubt, dass sie verletzt wurden.

Durch das Zurücksetzen der Token machte Facebook die gestohlenen Token ungültig. Benutzer mussten ihre Passwörter erneut eingeben und sich wieder bei ihren Facebook-Konten anmelden.

Während WhatsApp-Benutzer nicht betroffen sind (WhatsApp gehört Facebook), könnten Instagram-Benutzer dies sein. Daher forderte das Unternehmen Instagram-Benutzer auf, die Verknüpfung ihrer Facebook-Konten aufzuheben und erneut zu verknüpfen.

Sie müssen Ihr Passwort nicht unbedingt ändern, aber Sie sollten überprüfen, wo Sie bei Facebook angemeldet sind.

Ein Zugriffstoken ist kein Passwort. Es ist eine Zeichenfolge, mit der Sie bei Facebook angemeldet bleiben können. Zugriffstoken sind wie digitale Schlüssel, sagt Facebook, mit denen Sie auch dann bei Ihrem Facebook-Konto angemeldet bleiben, wenn Sie Facebook nicht aktiv nutzen, sodass Sie nicht bei jedem Besuch ein Passwort erneut eingeben müssen.

Sie können nicht mehr viel gegen den Verstoß tun, da Facebook diese Zugriffstoken bereits zurückgesetzt hat.

Sie sollten jedoch Facebook besuchen Sicherheit Einstellungsseite ( https://www.facebook.com/settings?tab=security ) und lesen Sie den Abschnitt Wo Sie angemeldet sind. Klicken Sie auf das Symbol rechts, um sich auf inaktiven Geräten von Ihrem Facebook-Konto abzumelden.

Auf einem iPhone können Sie die Seite mit den Sicherheitseinstellungen aufrufen, indem Sie auf das Menü tippen (unten rechts), nach unten zu Einstellungen & Datenschutz scrollen, Einstellungen auswählen und Sicherheit und Anmeldung auswählen.



Nicole Nguyen / BuzzFeed-Nachrichten

Stellen Sie jedoch sicher, dass Sie ein starkes Passwort für Ihr Facebook-Konto haben und die Zwei-Faktor-Authentifizierung (per App, keine SMS) aktiviert ist.

Hier ist Mehr Informationen wie Sie ein starkes Passwort erstellen (tl;dr – erhalten Sie einen Passwort-Manager und verwenden Sie den Passwort-Generator des Managers) und richten Sie eine App-basierte Zwei-Faktor-Authentifizierung ein.

Sie sollten auch alle Apps von Drittanbietern überprüfen, bei denen Sie Facebook verwenden, um sich anzumelden. Sie können ebenfalls anfällig sein.

Gehe in den Facebook-Einstellungen zu Apps und Websites um alle Apps von Drittanbietern zu überprüfen, die Ihre Facebook-Anmeldeinformationen verwenden, um sich anzumelden. Sie sollten die Berechtigung für alle Apps widerrufen, die Sie nicht mehr verwenden.

Darüber hinaus sollten Sie zu diesen Konten gehen und nach verdächtigen Aktivitäten suchen, sagte Jason Polakis, Assistenzprofessor für Informatik an der University of Illinois in Chicago NBC-Nachrichten .

Das liegt daran, dass laut Polakis diese gestohlenen Zugriffstoken verwendet werden könnten, um sich bei Konten auf Websites anzumelden, die die Facebook-Authentifizierung unterstützen – selbst wenn Sie Facebook nicht als Login verwenden.

Über 160.000 Websites , einschließlich BuzzFeed, verwenden derzeit Facebook Login, ein Tool, mit dem Benutzer ihr Facebook-Profil verwenden können, um sich anzumelden, anstatt ein neues Konto zu erstellen. Es wird auch als Facebook Single Sign-On (oder Facebook SSO im Tweet unten) bezeichnet.

jason polakis @jpolakis

Ein weiteres sehr kritisches, aber übersehenes Problem besteht darin, dass die gestohlenen Token verwendet werden können, um Zugriff auf das Konto eines Benutzers auf anderen Websites zu erhalten, die Facebook SSO unterstützen * selbst wenn der Benutzer nicht Facebook SSO * verwendet, um darauf zuzugreifen. Dies hängt von Implementierungen von Drittanbietern ab. (6/n)

17:48 - 29.09.2018 Antwort Retweeten Favorit

In einer Reihe von twittert , erklärte Polakis, dass Hacker je nachdem, wie diese Websites Facebook Login implementierten, auf jeder Website, auf der Facebook Single Sign-On implementiert ist, Zugriff auf die Benutzerkonten erhalten könnten.

In einer E-Mail-Erklärung schrieb ein Facebook-Sprecher: Wir bieten Best Practices für Entwickler, die Login und SDKs verwenden, die ihnen helfen, erzwungene Abmeldungen zu erkennen, wie wir sie letzte Woche zum Schutz von Menschen gemacht haben. Wir bereiten zusätzliche Empfehlungen für alle Entwickler vor, die auf diesen Vorfall reagieren und die Menschen in Zukunft schützen. Sie stellte auch einen Link zu Facebook zur Verfügung Login-Sicherheit Seite für Entwickler. Airbnb, Tinder, Bumble, Hinge und Getaround – Websites, die Facebook Login verwenden – reagierten nicht auf Anfragen nach Kommentaren.

Ein Pinterest-Sprecher sagte: Wir arbeiten aktiv mit Facebook zusammen, um die Auswirkungen zu untersuchen und zu bestimmen. Wir halten die Benutzer auf dem Laufenden, wenn es Updates gibt, auf die sie achten müssen.

Ein Spotify-Sprecher kommentierte, Spotify habe keine Sicherheitsverletzung erlebt. Vorsichtshalber können betroffene Nutzer ihr Spotify-Passwort oder, falls der Account über Facebook erstellt wurde, den Facebook-Login über ihre Anweisungen aktualisieren.

Der Grund für die Sicherheitsverletzung war zunächst Folgendes: Angreifer nutzten eine Schwachstelle in der Funktion „Anzeigen als“ aus, mit der Sie sehen können, wie Ihr Profil für andere Personen aussieht, mit denen Sie auf Facebook befreundet sind.

Anzeigen als soll schreibgeschützt sein. Mit anderen Worten, Sie sollten in diesem Modus nicht mit Ihrem Profil interagieren können. In einem bestimmten Fall können Sie jedoch mit Ihrem eigenen Profil interagieren. Eine Version von View As zeigte Ihr Profil so, wie es an Ihrem Geburtstag erscheinen würde. In dieser Version würden Sie sehen: Schreiben Sie [Ihren Namen] einen Geburtstagswunsch.

Facebook bietet versehentlich die Möglichkeit, ein Video für diese spezielle Geburtstagsversion von Anzeigen als zu posten. Dieser Video-Uploader generierte dann ein Zugriffstoken im HTML-Code der Website für den Benutzer, als den Sie Ihr Profil angesehen haben.

Diese neue Funktion zum Hochladen von Videos wurde im Juli 2017 eingeführt. Mitte September leitete Facebook eine Untersuchung ein, nachdem es einen Anstieg der Nutzer der neuen Funktionalität festgestellt hatte, wodurch der Angriff am 25. September aufgedeckt wurde.

Dieses Zugriffstoken ermöglicht es Angreifern, Ihr Konto zu übernehmen.

Diese Zugriffstoken können auch verwendet werden, um die vollständige Kontrolle über Facebook-Konten zu erlangen, aber Facebook sagt, dass eine erste Untersuchung hat nicht gezeigt dass die Token bisher verwendet wurden, um auf private Nachrichten oder Beiträge zuzugreifen oder um etwas auf diesen Konten zu posten.

Facebook hat immer noch keine Ahnung, wer die Angreifer sind oder wo sie sich befinden.

Entsprechend Facebook , seine Untersuchung befindet sich noch im Anfangsstadium und das Unternehmen weiß nicht, ob tatsächlich mit gestohlenen Token auf Konten zugegriffen wurde.