Von Matthias Kremp
Software-Experten der Sicherheitsfirma Symantec haben ein Datenleck bei Facebook entdeckt. Betroffen ist die Freigabe bestimmter Datenzugriffe für Facebook-Anwendungen. Laut Symantec hatten Dritte - in erster Linie Facebooks Werbekunden - Zugriff auf Facebook-Profile, Fotos und Chats. Sie hätten sogar Status-Meldungen im Namen der Betroffenen versenden können.
Es ist nicht das erste Mal, dass Facebook von einer derartigen Sicherheitslücke betroffen ist. Ende 2010 hatte es schon einmal ein ähnlich gelagertes Problem gegeben, bei dem einige Facebook-Anwendungen die eindeutigen Profilnummern von Anwendern an Werbefirmen und Adresshändler weiterreichten.
Der Grund für die ungewollte Offenheit: Versehentlich wurden den Werbetreibenden sogenannte access tokens der Anwender übertragen. Dabei handelt es sich quasi um Ersatzschlüssel für den Vollzugriff auf Profildaten der Facebook-Anwender, erklären die Symantec-Experten. Bis April hätten schätzungsweise 100.000 Facebook-Apps durch diesen Fehler Zugang zu solchen access tokens gehabt. Täglich würden rund 20 Millionen Facebook-Apps installiert. Da der Fehler zudem sei der Einführung von Facebook-Apps im Jahr 2007 besteht, ist der potentielle Schaden gewaltig - zumindest theoretisch.
Die Symantec-Sicherheitsexperten Nishant Doshi und Candid Wueest bezweifeln allerdings, dass überhaupt ein Schaden entstanden ist. Ihr Argument: "Glücklicherweise haben die Drittanbieter ihre Möglichkeit, auf diese Informationen zuzugreifen, wahrscheinlich gar nicht erkannt". Bevor sie ihre Entdeckung veröffentlichten, informierten die Symantec-Mitarbeiter das Soziale Netzwerk über die Schwachstelle. Facebook reagierte umgehend, beseitigte das Problem in der Anbindung von Facebook-Apps und informierte Entwickler von Drittanbieter-Apps über die Änderungen.
Es kann nicht sein, was nicht sein darf
In einer Stellungnahme beklagt sich Facebook zudem darüber, der Symantec-Bericht enthalte "einige Ungenauigkeiten". Vor allem habe man "eine genaue Untersuchung durchgeführt, die keine Anhaltspunkte dafür lieferte, dass persönliche Informationen von Unbefugten genutzt wurden". Auch ignoriere der Bericht, "die vertraglichen Verpflichtungen von Werbekunden und Entwicklern". Die untersagen es, "persönliche Informationen von Facebook-Anwendern auf eine Weise zu beschaffen oder zu verbreiten, die den Facebook-Vorgaben widerspricht". Mit anderen Worten: Es ist verboten, also dürfte es nicht passieren.
Symantec urteilt, man könne trotz der Änderungen, die Facebook nun eingeführt hat, noch keine Entwarnung geben. So sei es vollkommen unabschätzbar, wie viele der fraglichen access tokens seit 2007 ausgeliefert worden seien. Viele davon, fürchten die Experten, könnten immer noch im Umlauf sein.
Zur Sicherheit sollte man deshalb umgehend sein Facebook-Passwort ändern, empfehlen Nishant Doshi und Candid Wueest. Das sei ungefähr so, als würde man das Schloss an seiner Haustür auswechseln - wodurch der Ersatzschlüssel unbrauchbar würde.
Auf anderen Social Networks posten:
Ich auch nicht, aber darum gehts nicht und es geht auch nicht um Ihre persönlichen Präferenzen. ---Zitatende--- Doch, genau darum geht es. NIEMAND braucht Facebook, außer denjenigen, die damit Geld "verdienen". Man braucht [...] mehr...
...gerade habe ich mich dabei ertappt, diesen beitrag "liken" zu wollen... mehr...
Ich habe heuer noch keinen Sonnenbrand, ich hatte auch keine Zeit zum Eiersuchen, ich treffe mich 2 x in der Woche mit Freunden zum Roten. Und mir bleiben trotzdem zu wenig Stunden für "Privates". Der liebe Gott möge mich [...] mehr...
Ja, hallo, mal im Ernst, werter Künstler: was möchten Sie uns denn nun sagen?? mehr...
Ich bin mir recht sicher - ich bin öfter in der Sonne auf der Wiese als Sie - hatte schon reichlich Sonnenbrand dies Jahr - und abends gehts mit den anderen auf den Marktplatz auf ein Bier (oder so). Wenn ich mich mit den [...] mehr...
HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:
alles aus der Rubrik Netzwelt | Twitter | RSS |
alles aus der Rubrik Web | RSS |
alles zum Thema Facebook | RSS |
© SPIEGEL ONLINE 2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH