zurück zur Übersicht

Mmmm I know you like it…

Alle lieben Social Media (auch Kriminelle!)

Seien wir ehrlich: wir alle lieben Social Media. Allein in Deutschland gibt es über 30 Millionen aktive Facebook-Nutzer, der durchschnittliche Weltbürger bringt es statistisch auf ganze 5,54 Social Media Accounts. Das ist auch dem Marketing nicht verborgen geblieben. In Deutschland nutzen 91% der Einzelhandelsmarken und 81% der kleinen und mittelständischen Unternehmen Social Media.

Kommunikation mit den Freunden und Verwandten, Werbung für eigene Produkte und Dienstleistungen, Plattform für die Ansprache der Kunden… Facebook bietet ein vielfaltiges Angebot an Funktionen für die privaten und gewerblichen Nutzer – und nach der Veröffentlichung am Montag auch eine Menge private Informationen für Cyber Kriminelle.

Im Mai 2018 entdeckten und beseitigten die Security Experten von Imperva einen bösartigen Bug, der es ermöglicht hatte, die Information über die Präferenzen, (aka “Likes“), der Nutzer und ihrer Freunde zu klauen.

Diese Woche, am Montag dem 13 November, veröffentlichte Ron Masas, ein Security Researcher von Imperva, einen Artikel über diese Facebook Vulnerability. Darin erklärte er, wie ein Angreifer einen unautorisierten Zugriff auf die Facebook APIs über Chrome bekommen konnte.

Wie funktionierte sowas?

Eine Voraussetzung für einen erfolgreichen Angriff ist, dass der Nutzer sich via Chrome in Facebook anmeldet oder bereits angemeldet hat. Dann wurde der Nutzer zu einer bösartigen Seite gelockt (klassisches Phishing). Falls der Nutzer irgendwas auf der manipulierten Seite anklickt, öffnet sich ein verstecktes Pop-Up mit einer Facebook Suchmaske, die von dem Angreifer mit der Identität des Nutzers verwendet werden kann.

Technisch gesehen handelt es sich um Cross Site Request Forgery (CSRF), vor der die Facebook Suchergebnisse nicht geschützt wurden. (Tipp: wie man sich besser davor schützen kann zeigt Stanislav Sivak in seiner Artikelserie zum Thema CSRF auf. Hätte Mark Zuckerberg wohl mal besser Cubespotter gelesen! ;-)).

Jede Facebook Suche enthielt im HTML ein Iframe Element, ein Teil des Codes zum internen tracken der Webseite.

Die manipulierte Seite konnte mit Hilfe von diesen Iframes mehrere Suchqueries auf Facebook ausführen und Ergebnisse in Form von „Ja“ und „Nein“ sowie ihre Summe dem Angreifer zur Verfügung stellen.

Welche Information kann man dabei erhalten?

Laut den Tests von Ron Masas und seiner Mannschaft kann man mit diesem Angriff viele verschiedene Daten finden und prüfen wie z. B.

  • Die genaue Anzahl der Freunde eines Nutzers (inkl. versteckte Freunde)
  • Ob man mit einer spezifischen Person befreundet ist
  • Ob irgendwelche Posts oder Fotos an einem bestimmten Ort erstellt wurden
  • Ob jemand von den Freunden des Nutzers eine bestimmte Religion hat
  • Ob in den Posts von dem Nutzer irgendwelche spezifischen Wörter vorhanden sind
  • Ob der Nutzer irgendwelche bestimmten Posts oder Seiten „geliked “ hat

Das schlimmste an der ganzen Geschichte ist,  dass der Angreifer die Information über den Nutzer bekommt, sogar wenn die Ansichtseinstellungen eigentlich nur auf den Freundeskreis beschränkt sind.

Alleine das hört sich schon nicht gut an, aber das Problem, das Imperva dabei sieht, kann erst später aufschlagen, wenn die Hacker alle diese Information zu Zwecken des Social Engineerings nutzen können.

Und obwohl Facebook die Vulnerability inzwischen beseitigt hat, warnt die Sprecherin von Facebook Margarita Zolotova, dass diese Vulnerability nicht Facebook spezifisch ist und andere Seiten und Browser dafür anfällig sein können:

„We’ve fixed the issue in our search page and haven’t seen any abuse. As the underlying behavior is not specific to Facebook, we’ve made recommendations to browser makers and relevant web standards groups to encourage them to take steps to prevent this type of issue from occurring in other web applications.“ (the Verge 13.11.2018)

Dem kann man nur beipflichten. Allerdings kann auch jeder selbst für mehr Sicherheit sorgen. Ein achtsamer und vorsichtiger Umgang mit Daten bei der Nutzung von Sozialen Medien ist in jedem Falle angebracht, und kann Daten effektiver schützen als die beste technische Maßnahme. In diesem Sinne: achten SIe immer darauf,  was Sie posten und welche Seiten Sie aufrufen.

 


Links:

https://www.brandwatch.com/de/blog/interessante-social-media-zahlen-und-statistiken/

https://de.statista.com/statistik/daten/studie/503046/umfrage/anzahl-der-nutzer-von-facebook-und-instagram-in-deutschland/

https://www.cnet.com/news/facebook-flaw-opened-you-and-your-friends-profile-to-data-thieves/

https://gbhackers.com/chrome-bug-allowed-hackers/

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer