Peinliche Panne: Problem mit Neujahrgrüßen bei Facebook
Neujahrsgrüße anderer Nutzer waren durch ID-Tausch einsehbar. (Bild: Facebook)

Peinliche Panne Problem mit Neujahrgrüßen bei Facebook

Facebook hat zum Jahreswechsel einen neuen Dienst bereitgestellt. Damit lassen sich Neujahrswünsche vorab einstellen und pünktlich zum Jahreswechsel versenden. Doch auf die vorab eingestellten Nachrichten konnte jeder zugreifen.

Anzeige

Der Blogger Jack Jenkins hat ein Sicherheitsproblem bei Facebooks Neujahrsgrüßen entdeckt: Wird eine Nachricht eingestellt, die zum Jahreswechsel verschickt werden soll, generiert Facebook eine Bestätigungsseite. Und darin liegt das Problem, denn diese Seiten haben ein einfaches URL-Schema, so dass sich mit Änderung einer ID beliebige Nachrichten anderer Nutzer einsehen ließen, bis Facebook aufgrund der Meldung die Funktion abgeschaltet hat.

Da Facebook in der URL eine einfache numerische ID verwendet, genügte es, die Zahl zu ändern, um Neujahrsgrüße anderer Nutzer einzusehen, wie Jenkins beschreibt. Text und eingebettete Bilder sowie Adressaten waren sichtbar, der Absender nicht. Hier blendet Facebook das Bild des Nutzers ein, der die Seite abruft, sofern er bei Facebook angemeldet ist. So war nicht erkennbar, wer die Nachricht abgesandt hat.

Allerdings war es auf diesem Weg auch möglich, die Nachrichten fremder Nutzer zu löschen, bevor sie ausgeliefert wurden.

Facebook hat US-Medien die Sicherheitslücke bestätigt, die Funktion vorübergehend abgeschaltet und arbeitet derzeit an einer Korrektur.


MRigueira 31. Dez 2012

Och... das lässt sich ganz einfach mit Geldgier erklären. Viel erstaunlicher finde ich...

Kommentieren




Anzeige

  1. Datenbankadministrator (m/w)
    Koch, Neff & Volckmar GmbH, Stuttgart
  2. Softwareentwickler / -innen .NET
    Dataport, Hamburg
  3. Senior Consultant (m/w) SAP SuccessFactors
    metafinanz Informationssysteme GmbH, München
  4. IT-Demand- und -Projektmanger für Business Units mit Fokus Logistik / SCM (m/w)
    SCHOTT AG, Mainz

 

Detailsuche


Folgen Sie uns
       


  1. Alma und E-ELT

    Auf den Spuren der Superteleskope

  2. iOS 8

    Apple verbietet Weiterverkauf von Gesundheitsdaten

  3. Respawn Entertainment

    Titanfall ohne Titanen

  4. Mailverschlüsselung

    Googles neues System zur Schlüsselverwaltung

  5. Toshiba

    20 Megapixel für flache Smartphones

  6. Xbox One

    Firmware mit Mediaplayer und besseren Partys

  7. Windows Store

    Nutzer kritisieren Microsofts Vorgehen gegen Fake-Apps

  8. Google X

    Google bereitet einen eigenen Drohnen-Lieferdienst vor

  9. Casio Exilim EX-FR10

    Zweiteilige Actioncam macht sich klein

  10. Bildschirmtechnologie

    Apple patentiert flexibles Display



Haben wir etwas übersehen?

E-Mail an news@golem.de



IPv6: Der holprige Weg zu neuen IP-Adressen
IPv6
Der holprige Weg zu neuen IP-Adressen
  1. Containerverwaltung Docker 1.2 erlaubt Regelung von Containerneustarts
  2. Stellenanzeige Facebook will Linux-Netzwerkstack wie in FreeBSD
  3. Für Azure Microsoft gehen US-IPv4-Adressen aus

Formel E: Motorsport zum Zuhören
Formel E
Motorsport zum Zuhören

Raspberry B+ im Test: Sparsamer Nachfolger für mehr Bastelspaß
Raspberry B+ im Test
Sparsamer Nachfolger für mehr Bastelspaß
  1. Erweiterungsplatinen Der Raspberry Pi bekommt Hüte
  2. Odroid W Raspberry Pi-Klon für Fortgeschrittene
  3. Eric Anholt Langsamer Fortschritt bei Raspberry-Pi-Grafiktreiber

    •  / 
    Zum Artikel