Mittlerweile behoben – Änderung der Video-ID machte Zugriff möglich

Das soziale Netzwerk Facebook hat eine problematische Sicherheitslücke behoben. Das Leck, das vom Sicherheitsexperten Dan Melamed entdeckt worden war, hatte es Usern ermöglicht, anderen Nutzern mit einem relativ simplen Trick ihre Videos streitig zu machen.

Änderung der Video-ID ermöglichte Zugriff

Laut vereinfachter Beschreibung war es möglich, beim Hochladen eines Videos zu einem Event-Posting dessen eindeutige Identifikationsnummer zu verändern, die eigentlich automatisch von Facebook vergeben wird. Änderte man diese auf die ID eines bereits existierenden Clips, konnte man sich die Zugriffsrechte auf diesen verschaffen.

Der fremde Nutzer hatte damit die vollständige Kontrolle über den bestehenden Beitrag. Dies ermöglichte ihm etwa die Deaktivierung der Kommentarfunktion zum Clip oder die Löschung des Videos.

10.000 Dollar Belohnung

Melamed hatte seinen Fund schon im vergangenen Sommer an Facebook gemeldet. Der Konzern hat ihm im Rahmen seines Bounty-Programms mittlerweile 10.000 Dollar Belohnung ausgezahlt und das Problem behoben. In einem Youtube-Video lässt sich die ehemalige Schwachstelle "in Aktion" nachvollziehen. Die genaue Vorgangsweise schlüsselt Melamed in einem Blogeintrag auf.