Die Melden-Funktion verrät etwas zu viel.
Die Melden-Funktion verrät etwas zu viel. (Bild: ThePoz/Bodybuilder.com-Forum)

Facebook-Sicherheitslücke Private Bilder anschauen leicht gemacht

Es ist offenbar möglich, sich private Bilder von wildfremden Facebook-Nutzern anzuschauen. Dazu muss deren öffentliches Profilbild einer Anleitung zufolge nur als obszön gemeldet werden. Update: Facebook hat das Problem mittlerweile beseitigt.

Anzeige

Facebook-Nutzer können Bilder anderer Nutzer als anstößig melden. Die Meldefunktion lässt sich jedoch auch dazu nutzen, um nicht öffentlich freigegebene Fotos von fremden Facebook-Nutzern anzuzeigen. Hat ein fremder Facebook-Nutzer ein öffentliches Profilbild, kann es vom Angreifer wegen Nacktheit oder Pornografie Facebook gemeldet werden - das soziale Netzwerk zeigt dann unter Umständen weitere Bilder des Nutzers an, damit weitere Vergehen einfach per Mausklick gemeldet werden können.

Das wäre nicht der Rede wert, wenn unter den angezeigten Bildern nicht auch gerade inaktive Profilbilder oder private Fotos aus dem gemeldeten Account zu sehen wären. Diese Bilder müssten gemäß der Privatsphäre-Einstellungen für Fremde ohne Freundesstatus jederzeit uneinsehbar bleiben. Stattdessen sind sie für Angreifer so sichtbar, wenn auch offenbar nicht komplett und nach einer vermutlich zufälligen Reihenfolge.

Die Sicherheitslücke wurde bereits im November 2011 entdeckt, einer der ersten Hinweise dazu findet sich im US-Forum Bodybuilder.com, das sich längst nicht mehr nur um Bodybuilding dreht. Eine bebilderte Anleitung dort macht gerade die Runde durchs Internet und verlockt derzeit so manchen Facebook-Nutzer dazu, sie auch einmal auszuprobieren. Das könnte jedoch durchaus dazu führen, dass Facebook den Missbrauch ahndet und Accounts sperrt.

Golem.de hat den Vorgang mit einem eigens angelegten Account ausprobiert - bisher ohne Erfolg. Auch ein Wechsel von einer deutschen zu einer englischen Facebook-Oberfläche brachte dabei nichts, einige der Bodybuilder.com-Nutzer wollen damit Erfolg gehabt haben. Die Sicherheitslücke soll nur bei einem Teil der Neugierigen funktionieren, heißt es auch in dem Forum. Falls eine Sicherheitslücke besteht, dürfte auch wegen der großen Aufmerksamkeit davon auszugehen sein, dass Facebook die Lücke bald beseitigt. Bis zur Entwarnung können besorgte Nutzer öffentliche Profilbilder sicherheitshalber deaktivieren.

Nachtrag vom 6. Dezember 2011, 17:37 Uhr

Der von Golem.de zur Überprüfung der Sicherheitslücke erstellte Testaccount wurde von Facebook wegen unerlaubter Inhalte gesperrt. Wir hatten gemeldet, dass ein dort zu findendes harmloses Foto einer duschenden Lego-Figur und das Plüschtier-Profilfoto anstößig seien - was von Facebook offenbar vor der Sperrung nicht näher überprüft wurde. Ein Grund mehr, solche Spielchen besser nicht mit dem eigenen Account oder mit dem von Freunden auszuprobieren.

Nachtrag vom 7. Dezember 2011, 1:44 Uhr

Facebook hat Golem.de das Problem bestätigt, es soll mittlerweile beseitigt sein. Details dazu fehlen jedoch noch.


Baron Münchhausen. 07. Dez 2011

Der Nick des Vogels steht über dem Zitat

derthorsten 07. Dez 2011

Sehr gute Signatur!

derthorsten 07. Dez 2011

Wer mal mit den unsäglichen APIs von denen zu tun hatte (ich hatte das leidliche Glück...

Vollstrecker 07. Dez 2011

Versuch es einfach nicht zu googlen! Was dort steht und zu sehen ist willst du garnicht...

Trockenobst 07. Dez 2011

heute wird stundenlang über die Probleme mit einer Plattform diskutiert, die man absolut...

Kommentieren


Eviltux. IT & Gesellschaft / 06. Dez 2011

Sicherheitslücke in Facebook



Anzeige

  1. SCADA Software / Hardware Architect (m/w) Wind Power
    Siemens AG, Hamburg
  2. IT-Projektleiter/in
    Landeshauptstadt München, München
  3. Leiter Entwicklungsprojekte (m/w)
    SICK AG, Freiburg
  4. Wissenschaftliche Mitarbeiter / -innen im Bereich Audio & Multimedia
    Fraunhofer-Institut für Integrierte Schaltungen IIS, Erlangen

 

Detailsuche


Folgen Sie uns
       


  1. Linshof

    Die gut versteckte Firma hinter dem Wunder-Smartphone

  2. Gericht

    Entscheidung über Haft für Dotcom kommende Woche

  3. Star Wars Episode VII

    The Force Awakens im ersten Teaser

  4. Speedport Hybrid

    Hybrid-Tarif der Telekom ohne LTE-Drosselung

  5. Docker-Alternative

    Spoon bietet virtualisierte Container für Windows

  6. Überbewertete Superrechner

    Quantencomputer hätten kaum was zu tun

  7. FAA

    Privatdrohnen gefährden Flugverkehr

  8. Großbritannien

    Pink Floyd und Arctic Monkeys sorgen für Vinyl-Boom

  9. Raumfahrt

    Hayabusa 2 startet in wenigen Tagen

  10. Winter is coming

    Game of Thrones ab Anfang Dezember 2014



Haben wir etwas übersehen?

E-Mail an news@golem.de



Test Tales from the Borderlands: Witze statt Waffen
Test Tales from the Borderlands
Witze statt Waffen
  1. Spieldesign Kampf statt Chaos
  2. Swatting Bombendrohung bei Gearbox

Next-Gen-Geburtstag: Xbox One und Playstation 4 sind eins
Next-Gen-Geburtstag
Xbox One und Playstation 4 sind eins
  1. Big Fish Games Bis zu 885 Millionen US-Dollar für Casualgames-Anbieter
  2. This War of Mine Das traurigste Spiel des Jahres
  3. Qbert & Co 901 Spielhallenklassiker im Onlinearchiv

Elektronikdiscounter: Wie Preisvergleichsdienste ausgehebelt werden
Elektronikdiscounter
Wie Preisvergleichsdienste ausgehebelt werden
  1. Republic of Gamers G20 Asus' Konsolen-PC mit der Ecke bietet Geforce GTX 980
  2. Staatstrojaner Scanner-Software Detekt warnt vor sich selbst
  3. Piixl G-Pack Der 2-Zoll-Huckepack-Spiele-PC fürs Wohnzimmer

    •  / 
    Zum Artikel