Abo
  • IT-Karriere:

Sicherheitslücke

Werbekunden konnten auf Nutzerdaten bei Facebook zugreifen

Facebooks Werbekunden und andere Partner konnten über längere Zeit auf Daten von Facebook-Nutzern zugreifen, sowohl auf Profildaten als auch Fotos und Chats, meldet Symantec. Facebook hat die Sicherheitslücke bestätigt und beseitigt.

Artikel veröffentlicht am ,
Sicherheitslücke: Werbekunden konnten auf Nutzerdaten bei Facebook zugreifen
(Bild: Justin Sullivan / Getty Images News)

Facebook hat eine von Symantec gemeldete Sicherheitslücke geschlossen, über die Facebook-Partner, insbesondere Werbekunden, auf Profildaten von Nutzern, deren Fotos und Chats zugreifen konnten. Selbst Nachrichten konnten im Namen von Nutzern darüber verschickt und persönliche Daten analysiert werden, so Symantec.

Stellenmarkt
  1. Bertrandt Services GmbH, Friedrichshafen
  2. Reck & Co. GmbH, Bremen

Allerdings geht Symantec davon aus, dass die Facebook-Partner von diesen Möglichkeiten gar nichts wussten und sie daher auch nicht ausgenutzt haben. Schuld daran war eine Sicherheitslücke bei der Nutzerauthentifizierung, die Facebook mittlerweile geschlossen hat.

Laut Symantec hinterließen Iframe-Applikationen in einigen Fällen Zugangstokens, auf die Facebook-Partner wie Werbekunden oder Analysedienste Zugriff hatten. Symantec geht davon aus, dass Ende April 2011 rund 100.000 Applikationen Tokens hinterließen. Mit diesen Tokens können Applikationen auf Nutzerdaten zugreifen, je nachdem, welche Rechte ein Nutzer der jeweiligen Applikation bei deren Installation einräumt.

Für gewöhnlich laufen diese Zugangstokens nach kurzer Zeit ab. Allerdings können Applikationen auch Offline-Tokens anfordern, die dauerhaft gelten, auch dann, wenn ein Nutzer nicht eingeloggt ist, bis der Nutzer sein Passwort ändert.

Der Fehler liegt in einem alten Facebook-API, das noch immer unterstützt wird, auch wenn Facebook mittlerweile auf OAuth 2.0 umgestiegen ist. Werden bei alten APIs bestimmte Parameter gesetzt, so sendet Facebook das Zugangstoken mit jeder Anfrage, wodurch auch Dritte darauf Zugriff erhalten können.

Facebook hat den Fehler bestätigt und in Zusammenarbeit mit Symantec mittlerweile korrigiert. Darüber hinaus hat Facebook angekündigt, die alten APIs zu deaktivieren und ab 1. September 2011 nur noch eine Authentifizierung per OAuth 2.0 zuzulassen.

Nachtrag vom 11. Mai 2011, 10:05 Uhr:

Facebook betont in einer Stellungnahme, dass bei einer gründlichen Untersuchung keine Hinweise gefunden worden seien, dass über die Sicherheitslücke auf Nutzerdaten zugegriffen wurde. Zudem ignoriere Symantec, dass Facebooks Partnern der Zugriff oder die Verbreitung der Nutzerdaten vertraglich untersagt sei.



Anzeige
Spiele-Angebote
  1. 20,99€
  2. (-78%) 6,50€
  3. 27,99€

:) 12. Mai 2011

Like ;)

Charles Marlow 12. Mai 2011

Ein Bekannter von mir durfte sich wegen seinem Arbeitgeber vor einiger Zeit einen...

Rapmaster 3000 11. Mai 2011

Wie hätten die Werbepartner denn davon wissen sollen dass sowas möglich ist? Und da wird...

Prypjat 11. Mai 2011

So fühlt sich das nun mal an, wenn man das dicke Buch voll in die Fresse bekommt. ^^

Anonymer Nutzer 11. Mai 2011

immerhin hört man doch bei denen auch immer: "Natürlich können sie uns auch jederzeit...


Folgen Sie uns
       


Cepton Lidar angesehen

So funktioniert der Laserscanner des US-Startups Cepton.

Cepton Lidar angesehen Video aufrufen
Timex Data Link im Retro-Test: Bill Gates' Astronauten-Smartwatch
Timex Data Link im Retro-Test
Bill Gates' Astronauten-Smartwatch

Mit der Data Link haben Timex und Microsoft bereits vor 25 Jahren die erste richtige Smartwatch vorgestellt. Sie hat es sogar bis in den Weltraum geschafft. Das Highlight ist die drahtlose Datenübertragung per flackerndem Röhrenmonitor - was wir natürlich ausprobieren mussten.
Ein Test von Tobias Költzsch

  1. Smart Watch Swatch fordert wegen kopierter Zifferblätter von Samsung Geld
  2. Wearable EU warnt vor deutscher Kinder-Smartwatch
  3. Sportuhr Fossil stellt Smartwatch mit Snapdragon 3100 vor

Final Fantasy 7 Remake angespielt: Cloud Strife und die (fast) unendliche Geschichte
Final Fantasy 7 Remake angespielt
Cloud Strife und die (fast) unendliche Geschichte

E3 2019 Das Remake von Final Fantasy 7 wird ein Riesenprojekt, allein die erste Episode erscheint auf zwei Blu-ray-Discs. Kurios: In wie viele Folgen das bereits enorm umfangreiche Original von 1997 aufgeteilt wird, kann bislang nicht mal der Producer sagen.

  1. Final Fantasy 14 Online Report Zwischen Cosplay, Kirmes und Kampfsystem
  2. Square Enix Final Fantasy 14 erhält Solo-Inhalte und besonderen Magier
  3. Rollenspiel Square Enix streicht Erweiterungen für Final Fantasy 15

5G-Auktion: Warum der Preis der 5G-Frequenzen so hoch war
5G-Auktion
Warum der Preis der 5G-Frequenzen so hoch war

Dass die Frequenzen für den 5G-Mobilfunk teuer wurden, lasten Telekom, Vodafone und Telefónica dem Newcomer United Internet an. Doch dies ist laut dem Netzplaner Kai Seim nicht so gewesen.
Eine Analyse von Achim Sawall

  1. Funklöcher Hohe Bußgelder gegen säumige Mobilfunknetzbetreiber
  2. Bundesnetzagentur 5G-Frequenzauktion erreicht 6,5 Milliarden Euro
  3. 5G-Auktion Etablierte wollen Preis für 1&1 Drillisch hochtreiben

    •  /