• IT-Karriere:
  • Services:

Sicherheitslücke

Werbekunden konnten auf Nutzerdaten bei Facebook zugreifen

Facebooks Werbekunden und andere Partner konnten über längere Zeit auf Daten von Facebook-Nutzern zugreifen, sowohl auf Profildaten als auch Fotos und Chats, meldet Symantec. Facebook hat die Sicherheitslücke bestätigt und beseitigt.

Artikel veröffentlicht am ,
Sicherheitslücke: Werbekunden konnten auf Nutzerdaten bei Facebook zugreifen
(Bild: Justin Sullivan / Getty Images News)

Facebook hat eine von Symantec gemeldete Sicherheitslücke geschlossen, über die Facebook-Partner, insbesondere Werbekunden, auf Profildaten von Nutzern, deren Fotos und Chats zugreifen konnten. Selbst Nachrichten konnten im Namen von Nutzern darüber verschickt und persönliche Daten analysiert werden, so Symantec.

Stellenmarkt
  1. LISTAN GmbH, Glinde bei Hamburg
  2. dSPACE GmbH, Böblingen

Allerdings geht Symantec davon aus, dass die Facebook-Partner von diesen Möglichkeiten gar nichts wussten und sie daher auch nicht ausgenutzt haben. Schuld daran war eine Sicherheitslücke bei der Nutzerauthentifizierung, die Facebook mittlerweile geschlossen hat.

Laut Symantec hinterließen Iframe-Applikationen in einigen Fällen Zugangstokens, auf die Facebook-Partner wie Werbekunden oder Analysedienste Zugriff hatten. Symantec geht davon aus, dass Ende April 2011 rund 100.000 Applikationen Tokens hinterließen. Mit diesen Tokens können Applikationen auf Nutzerdaten zugreifen, je nachdem, welche Rechte ein Nutzer der jeweiligen Applikation bei deren Installation einräumt.

Für gewöhnlich laufen diese Zugangstokens nach kurzer Zeit ab. Allerdings können Applikationen auch Offline-Tokens anfordern, die dauerhaft gelten, auch dann, wenn ein Nutzer nicht eingeloggt ist, bis der Nutzer sein Passwort ändert.

Der Fehler liegt in einem alten Facebook-API, das noch immer unterstützt wird, auch wenn Facebook mittlerweile auf OAuth 2.0 umgestiegen ist. Werden bei alten APIs bestimmte Parameter gesetzt, so sendet Facebook das Zugangstoken mit jeder Anfrage, wodurch auch Dritte darauf Zugriff erhalten können.

Facebook hat den Fehler bestätigt und in Zusammenarbeit mit Symantec mittlerweile korrigiert. Darüber hinaus hat Facebook angekündigt, die alten APIs zu deaktivieren und ab 1. September 2011 nur noch eine Authentifizierung per OAuth 2.0 zuzulassen.

Nachtrag vom 11. Mai 2011, 10:05 Uhr:

Facebook betont in einer Stellungnahme, dass bei einer gründlichen Untersuchung keine Hinweise gefunden worden seien, dass über die Sicherheitslücke auf Nutzerdaten zugegriffen wurde. Zudem ignoriere Symantec, dass Facebooks Partnern der Zugriff oder die Verbreitung der Nutzerdaten vertraglich untersagt sei.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. mit TVs und IT-Zubehör)
  2. 116,01€ (Bestpreis mit MediaMarkt. Vergleichspreis 142,10€)
  3. 56,05€ (Bestpreis mit MediaMarkt. Vergleichspreis ab 70€)
  4. ab 419€ neuer Tiefpreis bei Geizhals

:) 12. Mai 2011

Like ;)

Charles Marlow 12. Mai 2011

Ein Bekannter von mir durfte sich wegen seinem Arbeitgeber vor einiger Zeit einen...

Rapmaster 3000 11. Mai 2011

Wie hätten die Werbepartner denn davon wissen sollen dass sowas möglich ist? Und da wird...

Prypjat 11. Mai 2011

So fühlt sich das nun mal an, wenn man das dicke Buch voll in die Fresse bekommt. ^^

Anonymer Nutzer 11. Mai 2011

immerhin hört man doch bei denen auch immer: "Natürlich können sie uns auch jederzeit...


Folgen Sie uns
       


    •  /