So überzeugte ein Hacker Facebook, ihm das Konto eines Wildfremden zu überlassen

Als der 23-jährige Aaron Thompson aus Michigan am Montagmorgen durch seinen Facebook-Feed scrollen wollte, scheiterte er überraschend schon am Login. Die mit seinem Account verknüpfte Telefonnummer und E-Mailadresse funktionierten nicht mehr und schienen über Nacht verändert worden zu sein. Nachdem ihm das klar geworden war, hat er „schon erstmal Panik geschoben", schildert er unumwunden gegenüber Motherboard.

Thompson überprüfte sofort seine Mails und konnte ziemlich schnell nachvollziehen, was ihm da gerade eigentlich passiert war. In seinem Postfach fand er nämlich eine rege E-Mail-Kommunikation zwischen dem Facebook-Kundendienst und dem Hacker vor, der Thompsons Account gekapert hatte.

„Hallo, ich habe keinen Zugriff mehr auf meine Handynummer. Könntet ihr bitte den Codegenerator und die Anmeldebestätigung auf meinem Account deaktivieren? Danke." So lautete eine der Nachricht des Hackers, der sich als Thompson ausgab und der so tat, als hätte er keinen Zugriff mehr auf das Handy, das mit seinem Facebook-Konto verknüpft war.

Die Antwort von Facebook auf die vermeintlich von Thompson stammende Nachricht ließ nicht lange auf sich warten. In einer automatisierten Email forderte das soziale Netzwerk den als Thompson agierenden Hacker dazu auf, einen Lichtbildausweis vorzuzeigen, wenn er sich nicht mehr mit dem Codegenerator (der Teil von Facebooks Zwei-Faktor-Authentifizierung ist) einloggen könne. So könne er nachweisen, dass er tatsächlich Aaron Thompson sei. Der Hacker scannte also einen offensichtlich gefälschten Pass ein und schickte das Bild an Facebook. Außer dem Namen stimmten aber laut Thompson keine der Angaben des Scans mit seinen Daten überein.

Für den Kundendienst von Facebook reichte diese eine Übereinstimmung aber bereits aus. Die Sicherheitsmechanismen auf Thompsons Account wurden umgehend deaktiviert und schon konnte der Hacker den gesamten Account verwalten.

„Vielen Dank, dass Sie Ihre Identität bestätigt haben. Sie sollten sich jetzt wieder in Ihrem Konto anmelden können", so die Nachricht eines Facebook-Supportmitarbeiters, die Thompson mit Motherboard teilte. „Wir haben auch die Anmeldebestätigungs-Funktion deaktiviert, um zu verhindern, dass Ihr Konto in Zukunft erneut gesperrt wird."

Zu diesem Zeitpunkt versuchte Thompson bereits fieberhaft, die Kontrolle über seinen Account zurückzubekommen und teilte Facebook mit, dass die Person, die den Scan vom Pass eingeschickt und um die Deaktivierung der Sicherheitsfunktionen gebeten hatte, nicht er gewesen sei.

Thompson erzählte Motherboard, dass er „am Boden zerstört" war. Er berichtete, dass er eine Reihe von Facebook-Seiten gegründet hat, wie zum Beispiel One Million Gamers, die insgesamt mehrere Millionen Likes haben. Der Verlust dieser Seiten hätte für Thompson den Verlust seiner Haupteinnahmequelle bedeutet. Daher war der 23-Jährige zunächst fest davon überzeugt, dass der Hacker es darauf abgesehen hatte, seine Unternehmensseiten auf Facebook zu Geld zu machen.

Doch während der Hacker die Kontrolle über den fremden Account hatte, verschickte er glücklicherweise nur ein paar Nachrichten—unter anderem schickte er jedoch auch ein Foto von Genitalien an Thompsons Freundin, fragte sie nach Nacktbildern und beleidigte sie, erzählte Thompson.

Einen ganzen Tag lang dauerte es, bis Thompson sich schließlich wieder auf seinem Facebook-Konto anmelden konnte. Total frustriert ließ er sich in der Zwischenzeit auf Reddit über den Vorfall aus und verfasste den Thread: „[Heute musste ich feststellen], dass jemand eure Facebook E-Mail-Adresse, euer Passwort und die Zwei-Faktoren-Authentifizierung umstellen kann, indem er einfach nur Facebook darum bittet, die Anmeldebestätigungs-Funktion zu deaktivieren und einen gefälschten Pass als Identitätsnachweis vorzeigt."

Als Motherboard Facebook am Dienstagmorgen zu dem Vorfall befragte, teilte uns ein Pressesprecher mit, dass das Unternehmen Thompsons Accounts und Seiten bereits gesichert habe und aktuell daran arbeite, ihm den Zugang zu seinem Account wieder freizuschalten.

„Die Tatsache, dass dieser Pass von uns akzeptiert wurde, war ein grober Fehler, mit dem wir gegen unsere eigenen, internen Richtlinien verstoßen haben. Normalerweise sieht unsere Vorgehensweise anders aus", erklärte der Pressesprecher.