Original-URL des Artikels: http://www.golem.de/news/peinliche-panne-problem-mit-neujahrgruessen-bei-facebook-1212-96604.html    Veröffentlicht: 31.12.2012 09:08

Peinliche Panne

Problem mit Neujahrgrüßen bei Facebook

Facebook hat zum Jahreswechsel einen neuen Dienst bereitgestellt. Damit lassen sich Neujahrswünsche vorab einstellen und pünktlich zum Jahreswechsel versenden. Doch auf die vorab eingestellten Nachrichten konnte jeder zugreifen.

Der Blogger Jack Jenkins hat ein Sicherheitsproblem bei Facebooks Neujahrsgrüßen entdeckt: Wird eine Nachricht eingestellt, die zum Jahreswechsel verschickt werden soll, generiert Facebook eine Bestätigungsseite. Und darin liegt das Problem, denn diese Seiten haben ein einfaches URL-Schema, so dass sich mit Änderung einer ID beliebige Nachrichten anderer Nutzer einsehen ließen, bis Facebook aufgrund der Meldung die Funktion abgeschaltet hat.

Da Facebook in der URL eine einfache numerische ID verwendet, genügte es, die Zahl zu ändern, um Neujahrsgrüße anderer Nutzer einzusehen, wie Jenkins beschreibt. Text und eingebettete Bilder sowie Adressaten waren sichtbar, der Absender nicht. Hier blendet Facebook das Bild des Nutzers ein, der die Seite abruft, sofern er bei Facebook angemeldet ist. So war nicht erkennbar, wer die Nachricht abgesandt hat.

Allerdings war es auf diesem Weg auch möglich, die Nachrichten fremder Nutzer zu löschen, bevor sie ausgeliefert wurden.

Facebook hat US-Medien die Sicherheitslücke bestätigt, die Funktion vorübergehend abgeschaltet und arbeitet derzeit an einer Korrektur.  (ji)


Verwandte Artikel:
Bug Bounty Program: Facebook gibt Kreditkarten an Hacker aus   
(02.01.2012 11:35, http://www.golem.de/1201/88735.html)
Facebook: Softwareupdate schuld an Bilder-Sicherheitslücke   
(07.12.2011 11:06, http://www.golem.de/1112/88250.html)
Facebook-Sicherheitslücke: Private Bilder anschauen leicht gemacht   
(06.12.2011 16:20, http://www.golem.de/1112/88231.html)
Für mehr Sicherheit: Facebook belohnt Hacker   
(30.07.2011 14:49, http://www.golem.de/1107/85364.html)
Sicherheitslücke: Werbekunden konnten auf Nutzerdaten bei Facebook zugreifen   
(11.05.2011 09:15, http://www.golem.de/1105/83390.html)

© 2014 by Golem.de