Abo
  • IT-Karriere:

Sicherheitslücke

Werbekunden konnten auf Nutzerdaten bei Facebook zugreifen

Facebooks Werbekunden und andere Partner konnten über längere Zeit auf Daten von Facebook-Nutzern zugreifen, sowohl auf Profildaten als auch Fotos und Chats, meldet Symantec. Facebook hat die Sicherheitslücke bestätigt und beseitigt.

Artikel veröffentlicht am ,
Sicherheitslücke: Werbekunden konnten auf Nutzerdaten bei Facebook zugreifen
(Bild: Justin Sullivan / Getty Images News)

Facebook hat eine von Symantec gemeldete Sicherheitslücke geschlossen, über die Facebook-Partner, insbesondere Werbekunden, auf Profildaten von Nutzern, deren Fotos und Chats zugreifen konnten. Selbst Nachrichten konnten im Namen von Nutzern darüber verschickt und persönliche Daten analysiert werden, so Symantec.

Stellenmarkt
  1. Rasco GmbH, Kolbermoor Raum Rosenheim
  2. BWI GmbH, bundesweit

Allerdings geht Symantec davon aus, dass die Facebook-Partner von diesen Möglichkeiten gar nichts wussten und sie daher auch nicht ausgenutzt haben. Schuld daran war eine Sicherheitslücke bei der Nutzerauthentifizierung, die Facebook mittlerweile geschlossen hat.

Laut Symantec hinterließen Iframe-Applikationen in einigen Fällen Zugangstokens, auf die Facebook-Partner wie Werbekunden oder Analysedienste Zugriff hatten. Symantec geht davon aus, dass Ende April 2011 rund 100.000 Applikationen Tokens hinterließen. Mit diesen Tokens können Applikationen auf Nutzerdaten zugreifen, je nachdem, welche Rechte ein Nutzer der jeweiligen Applikation bei deren Installation einräumt.

Für gewöhnlich laufen diese Zugangstokens nach kurzer Zeit ab. Allerdings können Applikationen auch Offline-Tokens anfordern, die dauerhaft gelten, auch dann, wenn ein Nutzer nicht eingeloggt ist, bis der Nutzer sein Passwort ändert.

Der Fehler liegt in einem alten Facebook-API, das noch immer unterstützt wird, auch wenn Facebook mittlerweile auf OAuth 2.0 umgestiegen ist. Werden bei alten APIs bestimmte Parameter gesetzt, so sendet Facebook das Zugangstoken mit jeder Anfrage, wodurch auch Dritte darauf Zugriff erhalten können.

Facebook hat den Fehler bestätigt und in Zusammenarbeit mit Symantec mittlerweile korrigiert. Darüber hinaus hat Facebook angekündigt, die alten APIs zu deaktivieren und ab 1. September 2011 nur noch eine Authentifizierung per OAuth 2.0 zuzulassen.

Nachtrag vom 11. Mai 2011, 10:05 Uhr:

Facebook betont in einer Stellungnahme, dass bei einer gründlichen Untersuchung keine Hinweise gefunden worden seien, dass über die Sicherheitslücke auf Nutzerdaten zugegriffen wurde. Zudem ignoriere Symantec, dass Facebooks Partnern der Zugriff oder die Verbreitung der Nutzerdaten vertraglich untersagt sei.



Anzeige
Spiele-Angebote
  1. (-63%) 16,99€
  2. 17,99€
  3. 3,99€
  4. 4,99€

:) 12. Mai 2011

Like ;)

Charles Marlow 12. Mai 2011

Ein Bekannter von mir durfte sich wegen seinem Arbeitgeber vor einiger Zeit einen...

Rapmaster 3000 11. Mai 2011

Wie hätten die Werbepartner denn davon wissen sollen dass sowas möglich ist? Und da wird...

Prypjat 11. Mai 2011

So fühlt sich das nun mal an, wenn man das dicke Buch voll in die Fresse bekommt. ^^

Anonymer Nutzer 11. Mai 2011

immerhin hört man doch bei denen auch immer: "Natürlich können sie uns auch jederzeit...


Folgen Sie uns
       


Golem.de probiert 5G in Berlin aus - Bericht

Wir probieren 5G in Berlin-Adlershof aus.

Golem.de probiert 5G in Berlin aus - Bericht Video aufrufen
IT-Freelancer: Paradiesische Zustände
IT-Freelancer
Paradiesische Zustände

IT-Freiberufler arbeiten zeitlich nicht mehr als ihre fest angestellten Kollegen, verdienen aber doppelt so viel wie sie. Das unternehmerische Risiko ist in der heutigen Zeit für gute IT-Freelancer gering, die Gefahr der Scheinselbstständigkeit aber hoch.
Von Peter Ilg

  1. IT-Jobs Der Amtsschimmel wiehert jetzt agil
  2. MINT Werden Frauen überfördert?
  3. Recruiting Wenn das eigene Wachstum zur Herausforderung wird

Change-Management: Die Zeiten, sie, äh, ändern sich
Change-Management
Die Zeiten, sie, äh, ändern sich

Einen Change zu wollen, gehört heute zum guten Ton in der Unternehmensführung. Doch ein erzwungener Wandel in der Firmenkultur löst oft keine Probleme und schafft sogar neue.
Ein Erfahrungsbericht von Marvin Engel

  1. Recruiting Alle Einstellungsprozesse sind fehlerhaft
  2. LoL Was ein E-Sport-Trainer können muss
  3. IT-Arbeit Was fürs Auge

Pixel 4 im Hands on: Neue Pixel mit Dualkamera und Radar-Gesten ab 750 Euro
Pixel 4 im Hands on
Neue Pixel mit Dualkamera und Radar-Gesten ab 750 Euro

Nach zahlreichen Leaks hat Google das Pixel 4 und das Pixel 4 XL offiziell vorgestellt: Die Smartphones haben erstmals eine Dualkamera - ein Radar-Chip soll zudem die Bedienung verändern. Im Kurztest hinterlassen beide einen guten ersten Eindruck.
Ein Hands on von Tobias Költzsch

  1. Pixel 4 Google will Gesichtsentsperrung sicher machen
  2. Google Pixel 4 entsperrt auch bei geschlossenen Augen
  3. Live Captions Pixel 4 blendet auf dem Gerät erzeugte Untertitel ein

    •  /