Zum Hauptinhalt Zur Navigation Zur Suche

Suche Shortcut: Strg + K
Abo testen Anmelden
Deals
Spiele & Rätsel Forum (öffnet im neuen Fenster)
SouveränitätSecurityKIEnergie

API-Fehler: Facebook-Entwickler konnten Fotos löschen

Wegen eines Konfigurationsfehlers konnten über die Facebook-API beliebige Fotos und Alben gelöscht werden. Die Schwachstelle wurde umgehend geschlossen. Der Entdecker erhielt eine hohe Belohnung.
/ Jörg Thoma
31 Kommentare Auf Google folgen (öffnet im neuen Fenster)
Eine Schwachstelle in der Facebook-API erlaubte das Löschen fremder Fotoalben. (Bild: Mladen Antonov/AFP/Getty Images)
Eine Schwachstelle in der Facebook-API erlaubte das Löschen fremder Fotoalben. Bild: Mladen Antonov/AFP/Getty Images

Die Löschfunktion für alle Fotoalben in der mobilen Version der Facebook-App machte einen Entwickler neugierig. Denn über die bei Facebook verwendete Graph API ist das eigentlich nicht möglich. So steht es auch in der Beschreibung(öffnet im neuen Fenster). Laxman Muthiyah hat mit einem mobilen Token nochmals überprüft, ob es nicht doch funktioniert und war erfolgreich. Theoretisch hätte er so sämtliche Fotos aller Facebook-Benutzer löschen können, schreibt Muthiyah in seinem Blog(öffnet im neuen Fenster).

Entwickler, die die Graph API nutzen wollen, erhalten einen Zugangscode, einen sogenannten Token. Davon gibt es verschiedene. Zunächst probierte Muthiyah den Token für seinen Explorer-Zugang aus, um eines seiner Fotoalben zu löschen. Die Fehlermeldung, die er erhielt, besagte, dass seine Applikation nicht die Erlaubnis dazu habe. Die Meldung habe aber impliziert, dass eine andere durchaus die Möglichkeit dazu haben könnte, schreibt der Entwickler.

Neue Angebote bei Golem Jobs (öffnet im neuen Fenster)
Anwendungsentwickler*in - Collaborations-Tools Deutsche Rentenversicherung Bund, Würzburg (öffnet im neuen Fenster)
Netzwerkadministrator/-in für die Schul-IT (w/m/d) Stadtverwaltung Herrenberg, Herrenberg (öffnet im neuen Fenster)
IT-Administrator*in GLS Gemeinschaftsbank e.G., Bochum (öffnet im neuen Fenster)
(Senior) Dynamics 365 Business Central Entwickler / ERP Consultant (m/w/d) in Nürnberg Schmitt + Sohn Aufzüge GmbH & Co. KG, Nürnberg (öffnet im neuen Fenster)
Koordinator*in für digitale Prüfungen (m/w/d) Universitätsklinikum Bonn, Bonn (öffnet im neuen Fenster)
Senior Software Developer Fullstack (m/w/d) Körber Pharma Inspection GmbH, Markt Schwaben (öffnet im neuen Fenster)
Verkehrsingenieur*in im Bereich verkehrstechnische Anlagen und verkehrstelematische Systeme Landeshauptstadt Kiel, Kiel (öffnet im neuen Fenster)
SAP Cloud Administrator / SAP Cloud Administratorin (m/w/d) Deutsche Bundesbank, Düsseldorf (öffnet im neuen Fenster)

Deshalb versuchte es Muthiyah mit einem Token für mobile Anwendungen unter Android. Den Token habe er im Datenverkehr zwischen einer Applikation und den Facebook-Servern abgefangen. Seine Testapplikation hatte damit die Erlaubnis, eines seiner Alben zu löschen. Dazu waren die Node-ID und besagter Token notwendig. Die Node-ID lässt sich über die URL im Browser ermitteln.

Schnell repariert, üppig entlohnt

Muthiyah versuchte jetzt, seine Löschaktion mit einer fremden Node-ID auszuführen – und war überrascht, dass er auch damit erfolgreich war. Er hätte so Fotoalben sämtlicher Benutzer löschen können, schreibt er.

Stattdessen informierte Muthiyah das Social-Media-Unternehmen. Die Entwicklungsabteilung dort reagierte umgehend. Innerhalb von zwei Stunden sei die Schwachstelle geschlossen worden, berichtet Muthiyah. Außerdem erhält der Programmierer aus Indien eine Belohnung von 12.500 US-Dollar.

Zur Startseite 31 Kommentare

Relevante Themen

Soziales NetzSoftwareSoftwareentwicklungSecurityDatensicherheitFacebook