Ursprünglich ging das Soziale Netzwerk davon aus, dass bei dem Datenleck, das am 28. September bekannt wurde, persönliche Daten von etwa 50 Millionen Nutzern betroffen sein könnten. Mittlerweile hat sich offenbar herausgestellt, dass die Anzahl gehackter Profile bei rund 30 Millionen liegt, wie Facebook-Manager Guy Rosen am Freitag im Unternehmensblog mitteilte. Bei etwa der Hälfte davon hatten die Angreifer jedoch Zugriff auf sensible private Informationen wie Name, Kontaktinformationen, Geburtsdatum, Geschlecht, Beziehungsstatus oder den Wohnort. Bei den übrigen 15 Millionen konnten sie ausschließlich den Namen und hinterlegte Kontaktdaten wie Telefonnummer und E-Mail-Adresse einsehen.
Weiterhin haben die Angreifer Informationen über benutzte Geräte sowie die letzten zehn Check-ins und 15 Suchen erbeutet, wie unter anderem heise online berichtet. Möglich war die Attacke durch eine Sicherheitslücke bei der „Profil ansehen als“-Funktion. Mit diesem Feature lässt sich das eigene Profil aus der Perspektive anderer Nutzer betrachten. Über die Schwachstelle konnten die Hacker sogenannte access tokens von rund 400.000 Nutzern ergattern, die in Verbindung mit von den Angreifern kontrollierten Accounts standen. Anschließend nutzten die Hacker einen automatisierten Prozess, um in den Freundeslisten der betroffenen Nutzer an sensible Informationen zu gelangen.
EU-Parlament: Facebook soll Quellcode offenlegen
Bei einem access token handelt es sich um eine Art Cookie, der Nutzer auch nach dem Schließen der Seite eingeloggt lässt. Auf diese Weise müssen Nutzer nicht jedes Mal das Passwort erneut eingeben. Derzeit arbeitet Facebook mit dem FBI zusammen, um mehr über Hintergründe und Täter herauszufinden. Unter Berufung auf aktuell noch laufende Ermittlungen gab das Unternehmen jedoch keinerlei Informationen dazu preis, auch nicht, wie viele Nutzer in einzelnen Ländern betroffen sind.
Durch das Datenleck erhöht sich auch der politische Druck auf Facebook in Europa: Wie der österreichische Radiosender FM4 berichtet, verlangt das EU-Parlament eine technische Sicherheitsüberprüfung des Facebook-Quellcodes, einen sogenannten Code-Audit. Wie der Datenschützer Max Schrems gegenüber FM4 sagte, kämen nach Datenschutzgrundverordnung hohe Strafzahlungen auf das Soziale Netzwerk zu, sollte es sich bei dem Datenleck um grobe Fahrlässigkeit handeln. Falls das EU-Parlament seine Forderung durchsetzt, wäre es das erste Mal, dass Facebook Teile seines Codes offenlegen müsste.
