Abo
  • IT-Karriere:

Sicherheitslücke

Werbekunden konnten auf Nutzerdaten bei Facebook zugreifen

Facebooks Werbekunden und andere Partner konnten über längere Zeit auf Daten von Facebook-Nutzern zugreifen, sowohl auf Profildaten als auch Fotos und Chats, meldet Symantec. Facebook hat die Sicherheitslücke bestätigt und beseitigt.

Artikel veröffentlicht am ,
Sicherheitslücke: Werbekunden konnten auf Nutzerdaten bei Facebook zugreifen
(Bild: Justin Sullivan / Getty Images News)

Facebook hat eine von Symantec gemeldete Sicherheitslücke geschlossen, über die Facebook-Partner, insbesondere Werbekunden, auf Profildaten von Nutzern, deren Fotos und Chats zugreifen konnten. Selbst Nachrichten konnten im Namen von Nutzern darüber verschickt und persönliche Daten analysiert werden, so Symantec.

Stellenmarkt
  1. Oberfinanzdirektion Karlsruhe, Karlsruhe
  2. afb Application Services AG, München

Allerdings geht Symantec davon aus, dass die Facebook-Partner von diesen Möglichkeiten gar nichts wussten und sie daher auch nicht ausgenutzt haben. Schuld daran war eine Sicherheitslücke bei der Nutzerauthentifizierung, die Facebook mittlerweile geschlossen hat.

Laut Symantec hinterließen Iframe-Applikationen in einigen Fällen Zugangstokens, auf die Facebook-Partner wie Werbekunden oder Analysedienste Zugriff hatten. Symantec geht davon aus, dass Ende April 2011 rund 100.000 Applikationen Tokens hinterließen. Mit diesen Tokens können Applikationen auf Nutzerdaten zugreifen, je nachdem, welche Rechte ein Nutzer der jeweiligen Applikation bei deren Installation einräumt.

Für gewöhnlich laufen diese Zugangstokens nach kurzer Zeit ab. Allerdings können Applikationen auch Offline-Tokens anfordern, die dauerhaft gelten, auch dann, wenn ein Nutzer nicht eingeloggt ist, bis der Nutzer sein Passwort ändert.

Der Fehler liegt in einem alten Facebook-API, das noch immer unterstützt wird, auch wenn Facebook mittlerweile auf OAuth 2.0 umgestiegen ist. Werden bei alten APIs bestimmte Parameter gesetzt, so sendet Facebook das Zugangstoken mit jeder Anfrage, wodurch auch Dritte darauf Zugriff erhalten können.

Facebook hat den Fehler bestätigt und in Zusammenarbeit mit Symantec mittlerweile korrigiert. Darüber hinaus hat Facebook angekündigt, die alten APIs zu deaktivieren und ab 1. September 2011 nur noch eine Authentifizierung per OAuth 2.0 zuzulassen.

Nachtrag vom 11. Mai 2011, 10:05 Uhr:

Facebook betont in einer Stellungnahme, dass bei einer gründlichen Untersuchung keine Hinweise gefunden worden seien, dass über die Sicherheitslücke auf Nutzerdaten zugegriffen wurde. Zudem ignoriere Symantec, dass Facebooks Partnern der Zugriff oder die Verbreitung der Nutzerdaten vertraglich untersagt sei.



Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 204,90€

:) 12. Mai 2011

Like ;)

Charles Marlow 12. Mai 2011

Ein Bekannter von mir durfte sich wegen seinem Arbeitgeber vor einiger Zeit einen...

Rapmaster 3000 11. Mai 2011

Wie hätten die Werbepartner denn davon wissen sollen dass sowas möglich ist? Und da wird...

Prypjat 11. Mai 2011

So fühlt sich das nun mal an, wenn man das dicke Buch voll in die Fresse bekommt. ^^

Anonymer Nutzer 11. Mai 2011

immerhin hört man doch bei denen auch immer: "Natürlich können sie uns auch jederzeit...


Folgen Sie uns
       


Radeon RX 5700 (XT) - Test

Die Navi-10-Grafikkarten schlagen die Geforce RTX 2060(S), benötigen aber etwas mehr Energie und unterstützen kein Hardware-Raytracing, dafür sind sie günstiger.

Radeon RX 5700 (XT) - Test Video aufrufen
Nachhaltigkeit: Jute im Plastik
Nachhaltigkeit
Jute im Plastik

Baustoff- und Autohersteller nutzen sie zunehmend, doch etabliert sind Verbundwerkstoffe mit Naturfasern noch lange nicht. Dabei gibt es gute Gründe, sie einzusetzen, Umweltschutz ist nur einer von vielen.
Ein Bericht von Werner Pluta

  1. Autos Elektro, Brennstoffzelle oder Diesel?
  2. Energie Wo die Wasserstoffqualität getestet wird
  3. Energiespeicher Heiße Steine sind effizienter als Brennstoffzellen

Google Game Builder ausprobiert: Spieldesign mit Karten statt Quellcode
Google Game Builder ausprobiert
Spieldesign mit Karten statt Quellcode

Bitte Bild wackeln lassen und dann eine Explosion: Solche Befehle als Reaktion auf Ereignisse lassen sich im Game Builder relativ einfach verketten. Der Spieleeditor des Google-Entwicklerteams Area 120 ist nicht nur für Einsteiger gedacht - sondern auch für Profis, etwa für die Erstellung von Prototypen.
Von Peter Steinlechner

  1. Spielebranche Immer weniger wollen Spiele in Deutschland entwickeln
  2. Aus dem Verlag Neue Herausforderungen für Spieler und Entwickler

IT-Arbeitsmarkt: Jobgarantie gibt es nie
IT-Arbeitsmarkt
Jobgarantie gibt es nie

Deutsche Unternehmen stellen weniger ein und entlassen mehr. Es ist zwar Jammern auf hohem Niveau, aber Fakt ist: Die Konjunktur lässt nach, was Arbeitsplätze gefährdet. Auch die von IT-Experten, die überall gesucht werden?
Ein Bericht von Peter Ilg

  1. IT-Standorte Wie kann Leipzig Hypezig bleiben?
  2. IT-Fachkräftemangel Arbeit ohne Ende
  3. IT-Forensikerin Beweise sichern im Faradayschen Käfig

    •  /