Atemraubende Sicherheitspanne bei Facebook

11. Mai 2011, 10:14
294 Postings

Unbefugter Zugriff auf Nutzerprofile und Fotos - Lücke bereits geschlossen

Das soziale Netzwerk Facebook hat App-Anbietern nach Angaben von Experten seit vier Jahren versehentlich Zugriff auf sensible Daten seiner Nutzer gewährt. Einzelne Anwendungen auf Facebook ermöglichten Unbefugten Zugriff auf Nutzerprofile, Fotos und Online-Konversationen, erklärte die Computer-Sicherheitsfirma Symantec am Dienstag. Dritte, wie etwa Facebook-Werbekunden, hatten damit die Möglichkeit, unerlaubt im Namen von Facebook-Nutzern Botschaften zu verschicken oder persönliche Daten einzusehen.

Zugriffsrechte für Apps

Wer eine App nutzt, muss dieser im Allgemeinen bestimmte Rechte einräumen. Dadurch kann die Anwendung beispielsweise Einträge im Namen des Nutzers veröffentlichen - also etwa den Spruch oder das Horoskop des Tages - oder die Liste von dessen Facebook-Freunden auslesen. Teilweise gehen die Berechtigungen soweit, dass die Anwendungen Zugriff auf Fotos, Nachrichten und Chats der Nutzer verlangen. Um auf die Daten zugreifen zu können, erhalten die Apps sogenannte Tokens - eine Art Ersatzschlüssel für die Facebook-Konten.

Über Jahre

Die Lücke betrifft laut heise das ältere Facebook-API, mit dem iFrame-Anwendungen Zugriff auf das Nutzerkonto legitimieren. Beim Login kann es passieren, dass der Access-Token in den URL eingefügt wird. Wird daraufhin etwa ein Werbebanner geladen, kann es sein, dass der Token an den Anbieter übermittelt wird. Im April seien etwa 100.000 Anwendungen von dem Sicherheitsproblem betroffen gewesen. Über die Jahre hätten möglicherweise hunderttausende Anwendungen Unbefugten ungewollt Millionen von Zugriffsmöglichkeiten auf Kundendaten eingeräumt.

Passwort ändern hilft

"Glücklicherweise" hätten die Nutznießer möglicherweise nichts von ihren Zugriffsmöglichkeiten bemerkt, sagte der Symantec-Experte. Er empfahl Facebook-Nutzern, ihr Passwort zu ändern. Damit verlieren die Token ihre Gültigkeit und das Facebook-Profil werde wieder sicher. Facebook hat die Lücke inzwischen geschlossen und Entwickler sowie Drittanbieter darüber in Kenntnis gesetzt. 

Vertragsbedingungen

Facebook kritisiert jedoch Ungeauigkeiten im Bericht von Symantec. Missbrauch mit Kundendaten werde in den Vertragsbedingungen der Plattform untersagt. "Der Bericht ignoriert die vertraglichen Verpflichtungen von Werbepartnern und Entwicklern, die ihnen untersagen, Nutzerdaten in einer Art und Weise zu erhalten oder zu veröffentlichten, die unsere Vorgaben verletzt", erklärte das Unternehmen.

Konkurrenzkampf

Facebook liefert sich mit Google und Yahoo einen harten Wettkampf um Kunden und Werbung. Zuletzt ist der japanische Elektronikkonzern Sony wegen einer Datenpanne bei seiner beliebten Playstation massiv unter Druck geraten. (red/Reuters/APA)

  • Bild nicht mehr verfügbar

    Die wichtigsten Tipps zum Schutz vor Cyberkriminalität in sozialen Netzwerken:

    -Starke Kennwörter verwenden - eine Kombination aus Zahlen und Buchstaben, Groß- und Kleinschreibung sollte sein.
    -Niemals persönliche Daten über sich oder über Familienmitglieder weitergeben, die den Nutzer auffindbar oder zur Zielscheibe von Verbrechern - online oder offline - machen könnten. Dazu gehören unter anderem Postanschrift, Geburtsdatum oder Kreditkartennummern.
    -Aufpassen, wen man als "Freund" akzeptiert. Nicht jeder ist der, für den er sich ausgibt.
    -Vorsicht bei Sensationsmeldungen auf Pinnwänden von Freunden - viele Links, die besonders Unglaubliches versprechen, sind Spam und verbreiten sich beim Anklicken unbemerkt weiter.

Share if you care.