Abo
  • Services:
Anzeige
Eine Schwachstelle in der Facebook-API erlaubte das Löschen fremder Fotoalben.
Eine Schwachstelle in der Facebook-API erlaubte das Löschen fremder Fotoalben. (Bild: Mladen Antonov/AFP/Getty Images)

API-Fehler: Facebook-Entwickler konnten Fotos löschen

Wegen eines Konfigurationsfehlers konnten über die Facebook-API beliebige Fotos und Alben gelöscht werden. Die Schwachstelle wurde umgehend geschlossen. Der Entdecker erhielt eine hohe Belohnung.

Die Löschfunktion für alle Fotoalben in der mobilen Version der Facebook-App machte einen Entwickler neugierig. Denn über die bei Facebook verwendete Graph API ist das eigentlich nicht möglich. So steht es auch in der Beschreibung. Laxman Muthiyah hat mit einem mobilen Token nochmals überprüft, ob es nicht doch funktioniert und war erfolgreich. Theoretisch hätte er so sämtliche Fotos aller Facebook-Benutzer löschen können, schreibt Muthiyah in seinem Blog. Entwickler, die die Graph API nutzen wollen, erhalten einen Zugangscode, einen sogenannten Token. Davon gibt es verschiedene. Zunächst probierte Muthiyah den Token für seinen Explorer-Zugang aus, um eines seiner Fotoalben zu löschen. Die Fehlermeldung, die er erhielt, besagte, dass seine Applikation nicht die Erlaubnis dazu habe. Die Meldung habe aber impliziert, dass eine andere durchaus die Möglichkeit dazu haben könnte, schreibt der Entwickler.

Deshalb versuchte es Muthiyah mit einem Token für mobile Anwendungen unter Android. Den Token habe er im Datenverkehr zwischen einer Applikation und den Facebook-Servern abgefangen. Seine Testapplikation hatte damit die Erlaubnis, eines seiner Alben zu löschen. Dazu waren die Node-ID und besagter Token notwendig. Die Node-ID lässt sich über die URL im Browser ermitteln.

Anzeige

Schnell repariert, üppig entlohnt

Muthiyah versuchte jetzt, seine Löschaktion mit einer fremden Node-ID auszuführen - und war überrascht, dass er auch damit erfolgreich war. Er hätte so Fotoalben sämtlicher Benutzer löschen können, schreibt er.

Stattdessen informierte Muthiyah das Social-Media-Unternehmen. Die Entwicklungsabteilung dort reagierte umgehend. Innerhalb von zwei Stunden sei die Schwachstelle geschlossen worden, berichtet Muthiyah. Außerdem erhält der Programmierer aus Indien eine Belohnung von 12.500 US-Dollar.


eye home zur Startseite
Emulex 13. Feb 2015

Wah! Angriff der Klonkrieger! Dachte das gleiche.

TheBigLou13 13. Feb 2015

Wer sagt das? Idr werden Nutzerdaten (auch bilder) redundant auf mehrere Server...

homilolto 13. Feb 2015

Undankbarer Zuckerberg! Wenn ich auch eine Lücke finde, werde ich die gnadenlos...

__destruct() 13. Feb 2015

Das ist Englisch. Aber sowas von. Frag ein Wörterbuch oder jemanden, der Englisch spricht.

blizzy 13. Feb 2015

Bei dem Müll, der täglich auf FB gepostet und geteilt wird, wäre es sogar ganz...



Anzeige

Stellenmarkt
  1. QSC AG, Hamburg
  2. Porsche AG, Zuffenhausen
  3. Fresenius Netcare GmbH, Bad Homburg
  4. soccerwatch.TV, Essen (Home-Office möglich)


Anzeige
Spiele-Angebote
  1. (-31%) 8,99€
  2. (-60%) 7,99€
  3. 10,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Kritische Bereiche der IT-Sicherheit in Unternehmen


  1. Gulp-Umfrage

    Welche Kenntnisse IT-Freiberufler brauchen

  2. HPE

    650 Millionen Dollar für den Einstieg in die Hyperkonvergenz

  3. Begnadigung

    Danke, Chelsea Manning!

  4. Android 7

    Nougat für Smartphones von Sony, Oneplus, LG und Huawei

  5. Simplygon

    Microsoft reduziert 3D-Details

  6. Nach Begnadigung Mannings

    Assange weiter zu Auslieferung in die USA bereit

  7. Startups

    Rocket will 2017 drei Firmen in Gewinnzone bringen

  8. XMPP

    Chatsecure bringt OMEMO-Verschlüsselung fürs iPhone

  9. Special N.N.V.

    Nanoxias Lüfter sollen keinerlei Vibrationen übertragen

  10. Intel

    Internet-of-Things-Plattform auf x86-Basis angekündigt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Intel Core i7-7700K im Test: Kaby Lake = Skylake + HEVC + Overclocking
Intel Core i7-7700K im Test
Kaby Lake = Skylake + HEVC + Overclocking
  1. Kaby Lake Intel macht den Pentium dank HT fast zum Core i3
  2. Kaby Lake Refresh Intel plant weitere 14-nm-CPU-Generation
  3. Intel Kaby Lake Vor der Vorstellung schon im Handel

Dienste, Programme und Unternehmen: Was 2016 eingestellt und geschlossen wurde
Dienste, Programme und Unternehmen
Was 2016 eingestellt und geschlossen wurde
  1. Kabel Mietminderung wegen defektem Internetkabel zulässig
  2. Grundversorgung Kanada macht Drosselung illegal
  3. Internetzugänge 50 MBit/s günstiger als 16 MBit/s

GPD Win im Test: Crysis in der Hosentasche
GPD Win im Test
Crysis in der Hosentasche
  1. FTC Qualcomm soll Apple zu Exklusivvertrag gezwungen haben
  2. Steadicam Volt Steadicam-Halterung für die Hosentasche
  3. Tastaturhülle Canopy hält Magic Keyboard und iPad zum Arbeiten zusammen

  1. Re: Keine #3

    sk3wy | 07:18

  2. Re: Mmmmh, 30 FPS

    NaruHina | 07:09

  3. Re: Quasi die Cloud zurück ins LAN holen

    Theholger | 07:09

  4. Re: das muss man allerdings vervollständigen

    sk3wy | 07:06

  5. Re: 900p im Jahr 2017

    Meisterqn | 06:57


  1. 19:06

  2. 17:37

  3. 17:23

  4. 17:07

  5. 16:53

  6. 16:39

  7. 16:27

  8. 16:13


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel