Passwortklau auf Facebooks Firmenserver entdeckt

26. April 2016, 10:30
2 Postings

Passwörter von Mitarbeitern ausspioniert – Facebook sagt: durch Sicherheitsforscher

Fremden Personen war es offenbar mehrere Monate lang möglich, Zugriff auf das Firmennetz von Facebook erhalten. Das hat ein Sicherheitsforscher von Devcore bei einem Test der Unternehmensnetze herausgefunden. Dabei seien Passwörter Hunderter Mitarbeiter ausspionieren worden, berichtet "The Hacker News".

Passwörter mitgeloggt

Orange Tsai von Devcore hat mehrere Sicherheitslücken entdeckt, unter anderem in einem File-Transfer-Service. Seine Untersuchungen hat er im Rahmen von Facebooks Bug-Bounty-Programm durchgeführt. Das Unternehmen belohnt Personen, die Sicherheitslücken finden und melden. Dabei stieß er auf verdächtige Web-Logs. Jemand hatte die Passwörter von Facebook-Mitarbeitern abgefangen und gespeichert.

Zugriff eines anderen Sicherheitsforschers

Tsai meldete seine Erkenntnisse Facebook und das Unternehmen veranlasste eine Untersuchung veranlasst. Für seine Meldung erhielt der Sicherheitsforscher 10.000 US-Dollar. In einem Forum meldete sich ein Mitglied von Facebooks Sicherheitsteam zu der Angelegenheit. Seiner Aussage nach stammen die Aktivitäten, die Tsai entdeckt hatte, von einem anderen Sicherheitsforscher.

Dieser hatte demnach ebenfalls Penetrationstests für das Bug-Bounty-Programm durchgeführt. In dem Forum wird allerdings diskutiert, ob das monatelange Sammeln von Passwörtern gegen die Regeln eines Bug-Bounty-Programms verstoßen.

Kein Zugriff auf Nutzerdaten

Das betroffene System war laut dem Facebook-Mitarbeiter jedenfalls von jenem System, auf dem Userdaten gespeichert werden, getrennt. Aus Sicherheitsgründen. So sei ein Zugriff auf Nutzerdaten nicht möglich gewesen. (red, 26.4.2016)

  • Facebooks internes Unternehmensnetz war offenbar monatelang durch Sicherheitslücken anfällig für den Zugriff von Außen.
    foto: reuters/beck diefenbach

    Facebooks internes Unternehmensnetz war offenbar monatelang durch Sicherheitslücken anfällig für den Zugriff von Außen.

Share if you care.