• Nachrichten
• > Netzwelt
• > Web
• > Facebook

ThemaFacebook

Alle Artikel und Hintergründe

Soziales Netzwerk

Facebook stopfte Datenleck erst nach vier Jahren

Von Matthias Kremp

DPA

Facebook-Nutzer: Sicherheitsfirma Symantec rät zum Wechsel des Passworts

Der Fehler bestand seit 2007, erst jetzt wurde er beseitigt: Werbekunden konnten über Jahre auf die Profile von Facebook-Anwendern zugreifen, Fotos ansehen, Chats mitlesen. Nach dem Hinweis einer Sicherheitsfirma wurde die Datenlücke geschlossen - Nutzer sollten trotzdem wachsam sein.

Software-Experten der Sicherheitsfirma Symantec haben ein Datenleck bei Facebook entdeckt. Betroffen ist die Freigabe bestimmter Datenzugriffe für Facebook-Anwendungen. Laut Symantec hatten Dritte - in erster Linie Facebooks Werbekunden - Zugriff auf Facebook-Profile, Fotos und Chats. Sie hätten sogar Status-Meldungen im Namen der Betroffenen versenden können.

Es ist nicht das erste Mal, dass Facebook von einer derartigen Sicherheitslücke betroffen ist. Ende 2010 hatte es schon einmal ein ähnlich gelagertes Problem gegeben, bei dem einige Facebook-Anwendungen die eindeutigen Profilnummern von Anwendern an Werbefirmen und Adresshändler weiterreichten.

Der Grund für die ungewollte Offenheit: Versehentlich wurden den Werbetreibenden sogenannte access tokens der Anwender übertragen. Dabei handelt es sich quasi um Ersatzschlüssel für den Vollzugriff auf Profildaten der Facebook-Anwender, erklären die Symantec-Experten. Bis April hätten schätzungsweise 100.000 Facebook-Apps durch diesen Fehler Zugang zu solchen access tokens gehabt. Täglich würden rund 20 Millionen Facebook-Apps installiert. Da der Fehler zudem sei der Einführung von Facebook-Apps im Jahr 2007 besteht, ist der potentielle Schaden gewaltig - zumindest theoretisch.

Die Symantec-Sicherheitsexperten Nishant Doshi und Candid Wueest bezweifeln allerdings, dass überhaupt ein Schaden entstanden ist. Ihr Argument: "Glücklicherweise haben die Drittanbieter ihre Möglichkeit, auf diese Informationen zuzugreifen, wahrscheinlich gar nicht erkannt". Bevor sie ihre Entdeckung veröffentlichten, informierten die Symantec-Mitarbeiter das Soziale Netzwerk über die Schwachstelle. Facebook reagierte umgehend, beseitigte das Problem in der Anbindung von Facebook-Apps und informierte Entwickler von Drittanbieter-Apps über die Änderungen.

Es kann nicht sein, was nicht sein darf

In einer Stellungnahme beklagt sich Facebook zudem darüber, der Symantec-Bericht enthalte "einige Ungenauigkeiten". Vor allem habe man "eine genaue Untersuchung durchgeführt, die keine Anhaltspunkte dafür lieferte, dass persönliche Informationen von Unbefugten genutzt wurden". Auch ignoriere der Bericht, "die vertraglichen Verpflichtungen von Werbekunden und Entwicklern". Die untersagen es, "persönliche Informationen von Facebook-Anwendern auf eine Weise zu beschaffen oder zu verbreiten, die den Facebook-Vorgaben widerspricht". Mit anderen Worten: Es ist verboten, also dürfte es nicht passieren.

Symantec urteilt, man könne trotz der Änderungen, die Facebook nun eingeführt hat, noch keine Entwarnung geben. So sei es vollkommen unabschätzbar, wie viele der fraglichen access tokens seit 2007 ausgeliefert worden seien. Viele davon, fürchten die Experten, könnten immer noch im Umlauf sein.

Zur Sicherheit sollte man deshalb umgehend sein Facebook-Passwort ändern, empfehlen Nishant Doshi und Candid Wueest. Das sei ungefähr so, als würde man das Schloss an seiner Haustür auswechseln - wodurch der Ersatzschlüssel unbrauchbar würde.

Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.

Auf anderen Social Networks posten:

• 
• 
• 
• 
• 
• 
•