Unbefugter Zugriff auf Nutzerprofile und Fotos - Lücke bereits geschlossen
Das soziale Netzwerk Facebook hat App-Anbietern nach Angaben von Experten seit vier Jahren versehentlich Zugriff auf sensible Daten seiner Nutzer gewährt. Einzelne Anwendungen auf Facebook ermöglichten Unbefugten Zugriff auf Nutzerprofile, Fotos und Online-Konversationen, erklärte die Computer-Sicherheitsfirma Symantec am Dienstag. Dritte, wie etwa Facebook-Werbekunden, hatten damit die Möglichkeit, unerlaubt im Namen von Facebook-Nutzern Botschaften zu verschicken oder persönliche Daten einzusehen.
Zugriffsrechte für Apps
Wer eine App nutzt, muss dieser im Allgemeinen bestimmte Rechte
einräumen. Dadurch kann die Anwendung beispielsweise Einträge im
Namen des Nutzers veröffentlichen - also etwa den Spruch oder das
Horoskop des Tages - oder die Liste von dessen Facebook-Freunden
auslesen.
Teilweise gehen die Berechtigungen soweit, dass die
Anwendungen Zugriff auf Fotos, Nachrichten und Chats der Nutzer
verlangen. Um auf die Daten zugreifen zu können, erhalten die Apps
sogenannte Tokens - eine Art Ersatzschlüssel für die Facebook-Konten.
Über Jahre
Die Lücke betrifft laut heise das ältere Facebook-API, mit dem iFrame-Anwendungen Zugriff auf das Nutzerkonto legitimieren. Beim Login kann es passieren, dass der Access-Token in den URL eingefügt wird. Wird daraufhin etwa ein Werbebanner geladen, kann es sein, dass der Token an den Anbieter übermittelt wird. Im April seien etwa 100.000 Anwendungen von dem Sicherheitsproblem betroffen gewesen. Über die Jahre hätten möglicherweise hunderttausende Anwendungen Unbefugten ungewollt Millionen von Zugriffsmöglichkeiten auf Kundendaten eingeräumt.
Passwort ändern hilft
"Glücklicherweise" hätten die Nutznießer möglicherweise nichts von ihren Zugriffsmöglichkeiten bemerkt, sagte der Symantec-Experte. Er empfahl Facebook-Nutzern, ihr Passwort zu ändern. Damit verlieren die Token ihre Gültigkeit und das Facebook-Profil werde wieder sicher. Facebook hat die Lücke inzwischen geschlossen und Entwickler
sowie Drittanbieter darüber in Kenntnis gesetzt.
Vertragsbedingungen
Facebook kritisiert jedoch Ungeauigkeiten im Bericht von Symantec. Missbrauch mit Kundendaten werde
in den Vertragsbedingungen der Plattform untersagt. "Der Bericht
ignoriert die vertraglichen Verpflichtungen von Werbepartnern und
Entwicklern, die ihnen untersagen, Nutzerdaten in einer Art und Weise
zu erhalten oder zu veröffentlichten, die unsere Vorgaben verletzt",
erklärte das Unternehmen.
Konkurrenzkampf
Facebook liefert sich mit Google und Yahoo einen harten Wettkampf um Kunden und Werbung. Zuletzt ist der japanische Elektronikkonzern Sony wegen einer Datenpanne bei seiner beliebten Playstation massiv unter Druck geraten. (red/Reuters/APA)
Mit 
