Abo
  • Services:
Anzeige
Eine Schwachstelle in der Facebook-API erlaubte das Löschen fremder Fotoalben.
Eine Schwachstelle in der Facebook-API erlaubte das Löschen fremder Fotoalben. (Bild: Mladen Antonov/AFP/Getty Images)

API-Fehler: Facebook-Entwickler konnten Fotos löschen

Eine Schwachstelle in der Facebook-API erlaubte das Löschen fremder Fotoalben.
Eine Schwachstelle in der Facebook-API erlaubte das Löschen fremder Fotoalben. (Bild: Mladen Antonov/AFP/Getty Images)

Wegen eines Konfigurationsfehlers konnten über die Facebook-API beliebige Fotos und Alben gelöscht werden. Die Schwachstelle wurde umgehend geschlossen. Der Entdecker erhielt eine hohe Belohnung.

Die Löschfunktion für alle Fotoalben in der mobilen Version der Facebook-App machte einen Entwickler neugierig. Denn über die bei Facebook verwendete Graph API ist das eigentlich nicht möglich. So steht es auch in der Beschreibung. Laxman Muthiyah hat mit einem mobilen Token nochmals überprüft, ob es nicht doch funktioniert und war erfolgreich. Theoretisch hätte er so sämtliche Fotos aller Facebook-Benutzer löschen können, schreibt Muthiyah in seinem Blog. Entwickler, die die Graph API nutzen wollen, erhalten einen Zugangscode, einen sogenannten Token. Davon gibt es verschiedene. Zunächst probierte Muthiyah den Token für seinen Explorer-Zugang aus, um eines seiner Fotoalben zu löschen. Die Fehlermeldung, die er erhielt, besagte, dass seine Applikation nicht die Erlaubnis dazu habe. Die Meldung habe aber impliziert, dass eine andere durchaus die Möglichkeit dazu haben könnte, schreibt der Entwickler.

Deshalb versuchte es Muthiyah mit einem Token für mobile Anwendungen unter Android. Den Token habe er im Datenverkehr zwischen einer Applikation und den Facebook-Servern abgefangen. Seine Testapplikation hatte damit die Erlaubnis, eines seiner Alben zu löschen. Dazu waren die Node-ID und besagter Token notwendig. Die Node-ID lässt sich über die URL im Browser ermitteln.

Anzeige

Schnell repariert, üppig entlohnt

Muthiyah versuchte jetzt, seine Löschaktion mit einer fremden Node-ID auszuführen - und war überrascht, dass er auch damit erfolgreich war. Er hätte so Fotoalben sämtlicher Benutzer löschen können, schreibt er.

Stattdessen informierte Muthiyah das Social-Media-Unternehmen. Die Entwicklungsabteilung dort reagierte umgehend. Innerhalb von zwei Stunden sei die Schwachstelle geschlossen worden, berichtet Muthiyah. Außerdem erhält der Programmierer aus Indien eine Belohnung von 12.500 US-Dollar.


eye home zur Startseite
Emulex 13. Feb 2015

Wah! Angriff der Klonkrieger! Dachte das gleiche.

TheBigLou13 13. Feb 2015

Wer sagt das? Idr werden Nutzerdaten (auch bilder) redundant auf mehrere Server...

homilolto 13. Feb 2015

Undankbarer Zuckerberg! Wenn ich auch eine Lücke finde, werde ich die gnadenlos...

__destruct() 13. Feb 2015

Das ist Englisch. Aber sowas von. Frag ein Wörterbuch oder jemanden, der Englisch spricht.

blizzy 13. Feb 2015

Bei dem Müll, der täglich auf FB gepostet und geteilt wird, wäre es sogar ganz...



Anzeige

Stellenmarkt
  1. Habermaaß GmbH, Bad Rodach
  2. HAMBURG SÜD Schifffahrtsgruppe, Hamburg
  3. Lampe & Schwartze KG, Bremen
  4. Westermann Gruppe, Braunschweig


Anzeige
Blu-ray-Angebote
  1. 5,99€ (ohne Prime bzw. unter 29€ Einkauf + 3€ Versand)
  2. (u. a. The Revenant 7,97€, James Bond Spectre 7,97€, Der Marsianer 7,97€)

Folgen Sie uns
       


  1. Antriebsstrang aus Deutschland

    BMW baut elektrischen Mini in Oxford

  2. Adobe

    Die Flash-Ära endet 2020

  3. Falscher Schulz-Tweet

    Junge Union macht Wahlkampf mit Fake-News

  4. BiCS3 X4

    WDs Flash-Speicher fasst 96 GByte pro Chip

  5. ARM Trustzone

    Google bescheinigt Android Vertrauensprobleme

  6. Überbauen

    Telekom setzt Vectoring gegen Glasfaser der Kommunen ein

  7. Armatix

    Smart Gun lässt sich mit Magneten hacken

  8. SR5012 und SR6012

    Marantz stellt zwei neue vernetzte AV-Receiver vor

  9. Datenrate

    Vodafone weitet 500 MBit/s im Kabelnetz aus

  10. IT-Outsourcing

    Schweden kaufte Clouddienste ohne Sicherheitsprüfung



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Microsoft Surface Pro im Test: Dieses Tablet kann lange
Microsoft Surface Pro im Test
Dieses Tablet kann lange
  1. Microsoft Neues Surface Pro fährt sich ohne Grund selbst herunter
  2. iFixit-Teardown Surface Laptop ist fast nicht reparabel
  3. Surface Studio Microsofts Grafikerstation kommt nach Deutschland

Indiegames Rundschau: Meisterdiebe, Anti- und Arcadehelden
Indiegames Rundschau
Meisterdiebe, Anti- und Arcadehelden
  1. Jump So was wie Netflix für Indiegames
  2. Indiegames-Rundschau Weltraumabenteuer und Strandurlaub
  3. Indiegames-Rundschau Familienflüche, Albträume und Nostalgie

Ausprobiert: JPEGmini Pro komprimiert riesige JPEGs um bis zu 80 Prozent
Ausprobiert
JPEGmini Pro komprimiert riesige JPEGs um bis zu 80 Prozent
  1. Google KI erstellt professionelle Panoramen
  2. Bildbearbeitung Google gibt Nik Collection auf

  1. Re: Fake News vs. Satire

    der_wahre_hannes | 09:05

  2. Re: OCD getriggert.

    vlad_tepesch | 09:05

  3. Re: Ich verstehe dieses Urteil nicht

    Spaghetticode | 09:02

  4. Re: DAB oder nur Analog?

    superdachs | 09:01

  5. Re: Bei uns passiert das sogar bei einzelnen Stra...

    spezi | 09:00


  1. 07:10

  2. 21:02

  3. 18:42

  4. 15:46

  5. 15:02

  6. 14:09

  7. 13:37

  8. 13:26


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel