Die Angreiferinnen und Angreifer auf die Server von Facebook haben zum Teil sehr private Daten kopiert. Bei 14 Millionen Profilen Informationen entwendet, darunter die zehn letzten Orte, an denen Nutzerinnen und Nutzer sich angemeldet hatten oder wo sie in Bildern getagt wurden, teilte Facebook mit. Auch die 15 jüngsten Suchanfragen könnten den Hackern bekannt sein. Weiterhin könnten Informationen wie Websites, Personen oder Facebook-Seiten, denen sie folgen, sowie Geburtsort, Beziehungsstatus, Religion und Arbeitsplatz kopiert worden sein.

Bei 15 Millionen weiteren Profilen seien lediglich der Name und Kontaktinformationen wie E-Mail kopiert worden, hieß es von dem Unternehmen. Insgesamt seien 30 Millionen Profile betroffen gewesen statt knapp 50 Millionen wie zunächst geschätzt. Bei einer Million der betroffenen Nutzer seien gar keine Daten aus den Profilen entwendet worden. Facebook hat insgesamt mehr als 2,2 Milliarden aktive Mitglieder.

Das Unternehmen hat den am 28. September bekannt gewordenen Vorfall nun genauer untersucht. Angreifer hatten sich durch den Diebstahl digitaler Schlüssel Zugang zu Profilen verschafft. Mit den sogenannten Token konnten sie auf die Profile zugreifen, als wären es ihre eigenen. Die Untersuchung ergab, dass die Angreifer die Attacke von einer Reihe Profile gestartet hatte, die sie selbst kontrollierten. 

Log-in-Hilfe übernommen

Facebook bekräftigte, dass von dem Hackerangriff keine Bezahlinformationen betroffen gewesen seien – auch nicht Daten des Chatdienstes Messenger. Es gebe keine Hinweise darauf, dass die Angreiferinnen die Möglichkeit ausgenutzt hätten, sich mit den gestohlenen Digitalschlüsseln auch bei anderen Apps anzumelden, für die Nutzer ihren Facebook-Login verwendeten, sagte Produktchef Guy Rosen. Das Unternehmen könne nicht ausschließen, dass es weitere, kleinere Angriffe gegeben habe, während die Sicherheitslücke existierte. Sie entstand bereits im Juli 2017 durch eine Kombination aus drei Softwarefehlern.

Die Angreifer hatten eine Schwachstelle in der Funktion ausgenutzt, mit der Facebook-Mitglieder sich ihr Profil aus der Sicht anderer Nutzerinnen anzeigen lassen können. Die Schwachstelle erlaubte es ihnen den Angaben zufolge, die sogenannten Token zu übernehmen – eine Art Log-in-Hilfe, die auf einem Gerät gespeichert wird. Damit kann ein Nutzer schnell sein Profil öffnen, ohne jedes Mal ein Passwort eingeben zu müssen.

Facebook teilte nichts zur möglichen Herkunft der Angreifer mit. Das Unternehmen arbeite eng mit dem FBI zusammen und sei von der US-Bundespolizei gebeten worden, sich dazu nicht zu äußern, hieß es. Facebook habe jedenfalls keine Hinweise darauf, dass die Attacke etwas mit den wichtigen US-Kongresswahlen in den USA Anfang November zu tun gehabt habe.