Am Dienstag, dem 25. September 2018, entdeckten Mitarbeiter von Facebook eine zuvor unbekannte Schwachstelle. Die unbekannten Hacker nutzten dabei eine Funktion aus, mit der man sich das eigene Profil aus der Sicht Dritter anzeigen lassen konnte. Der Bug ermöglichte das unerlaubte Kopieren des Token des jeweiligen Accounts, was in rund 50 Millionen Fällen geschehen sein soll. Rein theoretisch besaßen die Angreifer somit auch ohne Passwort die Zugangsrechte aller Accounts. Die Problematik betraf aber nicht nur das „soziale Netzwerk“ selbst. Bis zur Sperre unzähliger Token konnten sich die Cyberkriminellen mittels der erbeuteten Schlüssel auch woanders anmelden. Zahlreiche Internetportale nutzen den sogenannten Facebook-Login. Ist aber Facebook angreifbar, kann man sich folglich auch auf den Seiten unter falscher Flagge anmelden, die den Facebook-Login zur Identifikation der User nutzen.
Facebook: Gesamtwert aller gehackten Accounts bis zu 541 Millionen Euro
Nach Angaben des britischen News-Portals „The Independent“ sind mittlerweile die ersten Accounts im Darknet aufgetaucht. So werden derzeit im illegalen Online-Store „Dream Market“ Facebook-Accounts ab 4,16 US-Dollar (3,61 Euro) angeboten. Andere Händler, die ihre Ware ebenfalls weltweit vertreiben, verlangen 12,48 US-Dollar pro Account. Das sind umgerechnet 10,82 Euro. Alle kopierten Datensätze hätten rein theoretisch einen Gesamtwert von bis zu 541 Millionen Euro, wenn es den Hackern gelungen sein sollte, die Daten wirklich aller betroffenen Zugänge anzuzapfen. Beim „Dream Market“ existiert ein Treuhand-System (TH), in Fachkreisen Escrow genannt, welches die Käufer vor Betrug schützen soll.
Allerdings achten die Dream-Market-Betreiber bei den Optionen zur Bezahlung der illegalen Ware weniger auf den Datenschutz. Dort ist nur eine Bezahlung per Bitcoin oder Bitcoin Cash erlaubt. Die öffentliche Blockchain beider Kryptowährungen wird es allerdings allen Ermittlern ermöglichen, der Spur des Geldes zumindest bis zum Online-Handelsplatz des Senders und Empfängers zu folgen. Wie auskunftsfreudig diese im Fall eines Rechtshilfeersuchens agieren, steht natürlich wieder auf einem anderen Blatt Papier.
BTC-ECHO