Wohl die meisten Facebook-Nutzer von Profildiebstahl betroffen - per Suche konnten "malicious actors" sehr viel auslesen - Stopp dieses Suchfeatures
Facebook: ‘Malicious actors’ used its tools to discover identities and collect data on a massive global scale
www.washingtonpost.comFacebook said the scam likely hit most of its 2 billion users and helped hackers match email addresses or phone numbers from the so-called “Dark Web” to faces and names on Facebook.
Wer ein Feature anbietet, der muß sich Gedanken darüber machen, welche möglichen Seiteneffekte das Feature haben könnte. Da passieren oft die tollsten Dinge.
Aber offenbar gilt das nicht nur für Freelancer und kleine Unternehmen. Sondern auch für Milliardenunternehmen wie Facebook.
Da gibt es zwar grade den Skandal um die Daten, die zu Cambridge Analytica abgeflossen sind. Nicht etwa 50 Millionen, sondern etwa 87 Millionen. Aber eine ganz andere Möglichkeit läßt auf weitaus größere Probleme schließen.
.
Facebook: ‘Malicious actors’ used its tools to discover identities and collect data on a massive global scale
.
Die Washington Post berichtete, daß Facebook am Mittwoch selbst darüber informiert habe, daß voraussichtlich zu den allermeisten Profilen Informationen gesammelt wurden. Und zwar per Feature.
Das Prinzip: In Facebook gab es bis vor wenigen Tagen eine Suche, mit der man nach Mailadressen oder Telefonnummern suchen konnte. Das müssen Kriminelle mit Daten gemacht haben, die aus dem Darknet stammen. Programme wurden dafür verwendet, diese Daten in die Facebook-Suchbox einzugeben. So daß deutlich wurde, wem die Nummer oder die Mailadresse gehört. Womöglich auch, wie er aussieht, wo er wohnt usw.
Dazu Mark Zuckerberg in einem Gespräch am Mittwoch, in dem er darüber informierte:
Hard Questions: Q&A with Mark Zuckerberg on Protecting People’s Information
https://newsroom.fb.com/news/2018/04/hard-questions-protecting-peoples-information/
> “We built this feature, and it’s very useful. There were a lot of people using it up until we shut it down today,” Chief Executive Mark Zuckerberg said in a call with reporters Wednesday.
Das Feature wurde am Mittwoch abgeschaltet.
> Facebook said in a blog post Wednesday, “Given the scale and sophistication of the activity we’ve seen, we believe most people on Facebook could have had their public profile scraped.”
Man müsse davon ausgehen, daß so ziemlich alle öffentlichen Profile auf diese Art abgegriffen wurden. Nutzer konnten diese Suche zwar deaktivieren. Die Suche war aber standardmäßig aktiv - und wurde wohl von den allermeisten Nutzern nicht deaktiviert.
Hacker hätten ebenfalls die Accountwiederherstellungsfunktion genutzt. Indem sie sich als legitime Nutzer ausgegeben haben, die Accountdetails noch wußten.
Sen. Ed Markey (D-Mass.), ein Senator, der einem wichtigen Ausschuß vorsitzt:
> “The more we learn, the clearer it is that this was an avalanche of privacy violations that strike at the core of one of our most precious American values – the right to privacy”
Das Recht auf Privatheit.
Für Facebook ist das deshalb "ziemlich brisant", weil es bereits 2011 Probleme gab. Damals:
> At the time, the FTC faulted Facebook for misrepresenting the privacy protections it afforded its users and required the company to maintain a comprehensive privacy policy and ask permission before sharing user data in new ways.
Mit der Federal Trade Commission (FTC) gab es diverse Vereinbarungen. U.a., daß Nutzer darüber informiert werden, bevor Daten auf neue Arten weitergegeben werden. Wenn sich herausstellen sollte, daß Facebook gegen die damaligen Vereinbarungen verstoßen hat, könnte das diverse Millionen Dollar kosten.
David Vladeck, der bei der FTC als Direktor für die Überwachung zuständig war und jetzt an einer Universität lehrt:
> “This is a company that is, in my view, likely grossly out of compliance with the FTC consent decree,”
Grob außerhalb der Compliance-Regeln, das sei Facebook in seinen Augen.
Das Originalzitat von Mark Zuckerberg zu der "kreativen Nutzung der Suche": Es gab zwar eine "Massenbeschränkung", ein Nutzer konnte nur eine gewisse Zahl dieser Suchen am Stück durchführen. Aber:
> But I think what was also clear is that the methods of rate limiting this weren’t able to prevent malicious actors who cycled through hundreds of thousands of different IP address and did a relatively small number of queries for each one. Given that and what we know today, it just makes sense to shut that down.
Diese Angriffe liefen über hunderttausende von verschiedenen IP-Adressen. Über jede IP-Adresse kam jeweils nur eine geringe Zahl von Anfragen.
Offenbar hat Facebook bei diesem Feature "über Jahre hinweg" keinerlei Risiko gesehen.
> We looked into this and understood it more over the last few days as part of the audit of our overall system.
Erst beim Audit der eigenen Systeme in den letzten Tagen sei das aufgefallen.
Tja. Da bin ich baff. Man hat den Eindruck, daß Facebook zwar alles an Daten sammelt, was nur zu bekommen ist. Aber wie brisant der Zugriff sein kann, wenn nur wenige Daten in die falschen Hände kommen: Das scheint dort niemandem so richtig klar zu sein.
Wenn Kriminelle es schaffen, Server zu kapern, daraus Botnetze zu stricken und mit diesen DDOS-Angriffe durchführen (Distributed Denial-of-Service - Attacken), dann liegt es auch nahe, daß jeder dieser Server nur ein paar Suchanfragen auf Facebook durchführt. Und schon ist der Schutz ausgehebelt.
Und daß es solche Angriffe seit Jahren gibt: Das wissen natürlich auch die Mitarbeiter bei Facebook. Aber offenbar fehlt dort so einiges an Problembewußtsein.
Wenn das eine "kleine Klitsche" wäre und wenn ein paar hundert oder vielleicht tausend Leute davon betroffen wären. Aber es ist das weltweit größte Netzwerk.