Schwere Facebook-Lücke plauderte private Nachrichten aus

  • Artikelbild
    grafik: facebook

"Midnight Delivery"-Nachrichten konnten von allen eingesehen werden - Facebook nimmt Service offline

Erst vor wenigen Tagen gestartet, muss Facebook nun das neueste Feature seines sozialen Netzwerkes schon wieder deaktivieren: Die "Mitternachtsauslieferung" von Nachrichten wurde nach dem Auftauchen einer massiven Privacy-Lücke in der Nacht auf Montag eilig abgeschaltet.

Fehlerbehaftet

Wie sich herausstellte, waren jene privaten Nachrichten, die mit ihrem fixen Auslieferungszeitpunkt vor allem für das neue Jahr gedacht waren, nämlich bei weitem nicht so privat, wie den NutzerInnen versprochen wurde. Hat Facebook doch augenscheinlich bei der Implementierung ganz gehörig gepatzt, und auf ein richtiges Berechtigungssystem gleich ganz verzichtet.

Einsehbar

In Folge konnten alle die Nachrichten von anderen lesen, wenn sie nur die richtige URL hatten: Da diese dem fixen Muster http://www.facebookstories.com/midnightdelivery/confirmation?id=XXXXX
folgten, reichte es besonders neugierigen Personen, beliebige Zahlenkombinationen auszuprobieren, um durch die verschiedensten "Midnight Delivery"-Nachrichten zu stöbern. Der Absender ist auf diese Weise zwar nicht zu erkennen, sowohl Empfänger als auch Inhalt der Nachricht sind aber uneingeschränkt einsehbar.

Offline

Wenige Stunden nach dem Bekanntwerden des Problems hat Facebook dieses niczht nur bestätigt, sondern das Feature gleich zur Gänze offline genommen. Dies soll allerdings nicht auf Dauer so bleiben, man arbeite derzeit an einem Fix, heißt es vom Betreiber des sozialen Netzwerks.

Fix?

Wann dieser eingespielt wird, und die "Midnight Delivery" wieder aktiv ist, will man nicht fix versprechen. Ziel wird es wohl sein zumindest in den USA rechtzeitig zu Silvester Mitternacht wieder online zu sein, immerhin war das Feature primär für diesen Anlass gedacht. Für diverse andere Teile der Welt ist es hingegen jetzt schon zu spät, in den ersten Zeitzonen - etwa Neuseeland - hat man Silvester jetzt schon verpasst.

Vorgeschichte

Es ist nicht das erste Mal, dass Facebook mit Privacy-Problemen zu kämpfen hat, über die Jahre war es immer wieder zu ähnlichen Vorfällen gekommen. Zuletzt gab es im September Berichte, dass bei einem - kleinen - Teil der NutzerInnen private Nachrichten in der Timeline auftauchten. Im November waren dann plötzlich die Mail-Adressen eines Teils der NutzerInnen vollkommen öffentlich einsehbar. (red, derStandard.at, 31.12.12)

Share if you care
Posting 1 bis 25 von 33
1 2
nah geh,

die leute, die ihre popel fotografieren und auf facebook stellen ist eh nicht zu helfen.
da sind solche dinge echt voellig egal...

was soll die Aufregung, das bringen die doch eh' laufend.

Vielleicht ist es ja auch Absicht, quasi ein Test, für jenen Tag wo sich dann gar niemand mehr aufregt.

Ehrlich, ich verstehs nicht...

Facebook hat sich als Datensammler übelster Sorte entpuppt und es gibt noch immer Menschen, die es verwenden....
Ich möcht nicht wissen, wie viele da dabei sind, die ansonsten über Überwachung zetern....

weg mit dem Dreck...

beruht aber zu 100% auf freiwilligkeit ob man bei facebook dabei ist oder nicht...also womit haben sie da ein problem ?

das große problem für nichtfacebooker sind tratschende und facebookende verwandte.

am besten erzählt man denen auch face2face nicht alle neuigkeiten.

Es ist auszugehen, dass "Leistungsträger" bei den Entwicklern Druck gemacht haben das Feature ASAP Online zu bringen. Es wurde von der Führung angeordnet sicherheitsrelevante Implementierungen aus Kosten/Zeitgründen außer Acht zu lassen.

Wenn man FB seine Daten gibt muss man wohl damit rechnen, dass vieles in die Hose geht...

Selbst wenn einem Datenschutz wurscht ist, wundert mich echt, dass diesem Saftladen noch jemand irgendwas anvertraut. Die haben sich wiederholt als komplett unfähig herausgestellt.

Viele Facebook Kunden

sind nicht intelligent genug um zu erkennen was da vor sich geht.

Facebook-Nutzer sind keine Kunden

Nur so als Anmerkung. Die Werber sind die Kunden.

Die Daten der Facebook-User sind viel mehr das eigentliche Produkt

Nur sind die meisten User nicht in der Lage, ihre Position richtig einzuschätzen.

Lecko mio

Sind da Vollhirnis unterwegs....

Habe bei einem Online-Broker vor Jahren ähnliches gefunden: durch ändern der ID in der URL konnte man die Anmeldung der Kunden und somit schwer persönliche Daten einsehen. Habe denen geschrieben; nicht einmal ein Danke kam zurück. Ich hätte die Diletanten anzeigen sollen! Natürlich bin ich von denen weg.

welcher Broker wars?

wäre nicht uninteressant..

Der Shadow-Broker

das zeugt von verantwortungslosigkeit und unfähigkeit, wenn man ganz einfach per get request private daten auslesen kann.

Ist ja auch ein voll ure supriges Feature, wenn ich genau weiß, dass alle Nachrichten automatisch abgeschickt werden, da fühlt man sich doch gleich richtig persönlich angesprochen ;oP

Ahhhh!

Ich mag das!!!
Man kann ja nicht alles testen:)
-
Oh, das ist ja noch besser als das Unicredit_Desaster mit Telebanking! - Nein, man kann wirklich nicht alles testen.

Besonders URL-spielereien kann man niemals testen, auf solche ideen kommt man ja gerade als web-entwickler nie im leben.

Dafür muss es ja auch ein Testteam geben, nur

einen Entwicklertest durchzuführen wäre, für ein Unternehmen, bereits hochgradig fahrlässig und daher strafbar!!!

Aber wahrscheinlich ist es wirklich so, dass Facebook nur wenig testet!

das braucht man nicht testen, so eine lösung schließt man von vorn herein aus, irgendwelche infos die nicht prinzipiell für jeden sein sollen ohne irgeneine form der authentifizierung hergeben

Wozu ein Testteam wenn man User hat?

Hat sich das eine große österr. Bank auch gedacht?

Posting 1 bis 25 von 33
1 2

Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.