Facebook hat Ende September verlautbart, dass die Daten von Millionen Nutzern von Hackern gestohlen wurden. Zunächst hatte man mit 50 Millionen Betroffenen und potenziell 40 Millionen weiteren gerechnet. Nun heißt es von dem Unternehmen, dass insgesamt ungefähr 30 Millionen Nutzer Opfer von der Sicherheitslücke sind. Facebook stellt nun eine eigene Seite zur Verfügung (zunächst nur englischsprachig), in der Nutzer prüfen können, inwiefern sie von ihr betroffen sind.

Dort wird zunächst angezeigt, ob die Daten des eingeloggten Nutzers entwendet wurden oder nicht. Falls ja, wird angegeben, ob man:

1. Einer der 14 Millionen User ist, denen ein großer Teil an Daten gestohlen wurde: Name, E-Mail-Adresse, Handynummer, Nutzername, Beziehungsstatus, Religion, Sprache, aktuelle Heimatstadt, Heimartort, Ausbildung, Website und die Art von Gerät, die genutzt wurde. Zudem konnten die Hacker einsehen, an welchen zehn Orten Nutzer zuletzt waren, sowie die 15 letzten Suchen auf der Plattform prüfen. Auch sahen sie, welchen Personen und Seiten User auf Facebook folgen
2. Einer jener 15 Millionen Nutzer ist, deren E-Mail-Adresse, Name und Handynummer geklaut wurden.
3. Einer der einen Millionen User ist, die zwar vom Hack betroffen waren, denen jedoch außer dem sogenannten Access-Token – Langzeitschlüssel, mit denen man sich ohne Passwort in ein Konto einloggen kann –, keine Daten gestohlen wurden.

Was kann ich tun?

Facebook betont, dass Hacker keinen Zugriff auf das Passwort von betroffenen Nutzern hatte. Somit ist es nicht notwendig, es zu ändern. Empfehlenswert ist jedoch, künftig sorgsam mit dem eigenen E-Mailkonto umzugehen, da Hacker nun die Adresse haben. Achten Sie speziell auf die Absender von Nachrichten, da das Risiko für Phishing-Mails erhöht ist. Beispielsweise könnte eine E-Mail so aussehen, als käme sie von Ihrer Bank oder von Paypal. Klicken Sie auf den angegeben Link, werden sie auf eine Fake-Website geführt, die genauso aussieht wie jene des von Ihnen genutzten Finanzdienstes.

Ihre Daten könnten womöglich verkauft werden. Falls Sie von einer Ihnen unbekannten, merkwürdig aussehenden Nummer mit anderem Ländercode angerufen werden, heben Sie nicht ab. Sollten Sie umfassend von der Lücke betroffen sein (1) empfiehlt es sich, bei sensiblen Diensten anzurufen und sicherzustellen, dass es nicht möglich ist, sich telefonisch anhand dieser Daten als Sie selbst auszugeben und auf diese Weise Zugriff zu erhalten. Fragen Sie in dem Fall nach, ob es möglich ist, eine zusätzliche Sicherheitsmaßnahme, etwa einen PIN-Code, den Sie bei Anrufen durchgeben müssten, einzurichten.

Hatten Hacker nur Zugriff auf Ihr Access Token, ohne dass sonstige Änderungen vorgenommen wurden, müssen Sie nichts weiter tun. Facebook hat vorbeugend jegliche Nutzer, die potenziell gehackt wurden, bereits vor zwei Wochen ausgeloggt, wodurch keine Weitere Nutzung Ihres Kontos möglich ist.

Hintergrund

Facebook räumte ein, dass es über einen Bug möglich war, auf Accounts von Nutzern zuzugreifen. So bietet die Plattform seit jeher ein Feature, welches Nutzern erlaubt, sich das eigene Konto aus der Ansicht eines anderen Nutzers anzusehen. Fälschlicherwiese erstellte eine fehlerhafte Video-Funktion Access Tokens für den Account, der betrachtet wird. Hacker konnten auf diese Weise die Daten von vielen Millionen Nutzern abgreifen. (muz, 13.10.2018)