Handelsblatt

MenüZurück
Wird geladen.

11.05.2011

10:05 Uhr

Sicherheitslücke

Werbekunden konnten auf Facebook-Nutzerdaten zugreifen

Quelle:Golem.de

Facebooks Werbekunden und andere Partner konnten über längere Zeit auf Daten von Facebook-Nutzern zugreifen, sowohl auf Profildaten als auch Fotos und Chats, meldet Symantec. Facebook hat die Sicherheitslücke bestätigt und beseitigt.

Bei Facebook hat es offenbar eine Datenpanne gegeben. Quelle: dpa

Bei Facebook hat es offenbar eine Datenpanne gegeben.

BerlinFacebook hat eine von Symantec gemeldete Sicherheitslücke geschlossen, über die Facebook-Partner, insbesondere Werbekunden, auf Profildaten von Nutzern, deren Fotos und Chats zugreifen konnten. Selbst Nachrichten konnten im Namen von Nutzern darüber verschickt und persönliche Daten analysiert werden, so Symantec.

Allerdings geht Symantec davon aus, dass die Facebook-Partner von diesen Möglichkeiten gar nichts wussten und sie daher auch nicht ausgenutzt haben. Schuld daran war eine Sicherheitslücke bei der Nutzerauthentifizierung, die Facebook mittlerweile geschlossen hat.

Laut Symantec hinterließen Iframe-Applikationen in einigen Fällen Zugangstokens, auf die Facebook-Partner wie Werbekunden oder Analysedienste Zugriff hatten. Symantec geht davon aus, dass Ende April 2011 rund 100.000 Applikationen Tokens hinterließen. Mit diesen Tokens können Applikationen auf Nutzerdaten zugreifen, je nachdem, welche Rechte ein Nutzer der jeweiligen Applikation bei deren Installation einräumt.

Für gewöhnlich laufen diese Zugangstokens nach kurzer Zeit ab. Allerdings können Applikationen auch Offline-Tokens anfordern, die dauerhaft gelten, auch dann, wenn ein Nutzer nicht eingeloggt ist, bis der Nutzer sein Passwort ändert.

Der Fehler liegt in einem alten Facebook-API, das noch immer unterstützt wird, auch wenn Facebook mittlerweile auf OAuth 2.0 umgestiegen ist. Werden bei alten APIs bestimmte Parameter gesetzt, so sendet Facebook das Zugangstoken mit jeder Anfrage, wodurch auch Dritte darauf Zugriff erhalten können.

Facebook hat den Fehler bestätigt und in Zusammenarbeit mit Symantec mittlerweile korrigiert. Darüber hinaus hat Facebook angekündigt, die alten APIs zu deaktivieren und ab 1. September 2011 nur noch eine Authentifizierung per OAuth 2.0 zuzulassen.

Nachtrag vom 11. Mai 2011, 10:05 Uhr:

Facebook betont in einer Stellungnahme, dass bei einer gründlichen Untersuchung keine Hinweise gefunden worden seien, dass über die Sicherheitslücke auf Nutzerdaten zugegriffen wurde. Zudem ignoriere Symantec, dass Facebooks Partnern der Zugriff oder die Verbreitung der Nutzerdaten vertraglich untersagt sei.

Von

Jens Ihlenfeld

Kommentare (1)

Selber kommentieren? Hier zur klassischen Webseite wechseln.  Selber kommentieren? Hier zur klassischen Webseite wechseln.

wien7

11.05.2011, 10:03 Uhr

Leider doch, bei mir und Bekannten wurden einige Werbevideos einfach auf die eigene Pinnwand gestellt und an unsere Freunde verteilt!

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×