Abo
  • Services:
Anzeige
Eine Schwachstelle in der Facebook-API erlaubte das Löschen fremder Fotoalben.
Eine Schwachstelle in der Facebook-API erlaubte das Löschen fremder Fotoalben. (Bild: Mladen Antonov/AFP/Getty Images)

API-Fehler: Facebook-Entwickler konnten Fotos löschen

Eine Schwachstelle in der Facebook-API erlaubte das Löschen fremder Fotoalben.
Eine Schwachstelle in der Facebook-API erlaubte das Löschen fremder Fotoalben. (Bild: Mladen Antonov/AFP/Getty Images)

Wegen eines Konfigurationsfehlers konnten über die Facebook-API beliebige Fotos und Alben gelöscht werden. Die Schwachstelle wurde umgehend geschlossen. Der Entdecker erhielt eine hohe Belohnung.

Die Löschfunktion für alle Fotoalben in der mobilen Version der Facebook-App machte einen Entwickler neugierig. Denn über die bei Facebook verwendete Graph API ist das eigentlich nicht möglich. So steht es auch in der Beschreibung. Laxman Muthiyah hat mit einem mobilen Token nochmals überprüft, ob es nicht doch funktioniert und war erfolgreich. Theoretisch hätte er so sämtliche Fotos aller Facebook-Benutzer löschen können, schreibt Muthiyah in seinem Blog. Entwickler, die die Graph API nutzen wollen, erhalten einen Zugangscode, einen sogenannten Token. Davon gibt es verschiedene. Zunächst probierte Muthiyah den Token für seinen Explorer-Zugang aus, um eines seiner Fotoalben zu löschen. Die Fehlermeldung, die er erhielt, besagte, dass seine Applikation nicht die Erlaubnis dazu habe. Die Meldung habe aber impliziert, dass eine andere durchaus die Möglichkeit dazu haben könnte, schreibt der Entwickler.

Deshalb versuchte es Muthiyah mit einem Token für mobile Anwendungen unter Android. Den Token habe er im Datenverkehr zwischen einer Applikation und den Facebook-Servern abgefangen. Seine Testapplikation hatte damit die Erlaubnis, eines seiner Alben zu löschen. Dazu waren die Node-ID und besagter Token notwendig. Die Node-ID lässt sich über die URL im Browser ermitteln.

Anzeige

Schnell repariert, üppig entlohnt

Muthiyah versuchte jetzt, seine Löschaktion mit einer fremden Node-ID auszuführen - und war überrascht, dass er auch damit erfolgreich war. Er hätte so Fotoalben sämtlicher Benutzer löschen können, schreibt er.

Stattdessen informierte Muthiyah das Social-Media-Unternehmen. Die Entwicklungsabteilung dort reagierte umgehend. Innerhalb von zwei Stunden sei die Schwachstelle geschlossen worden, berichtet Muthiyah. Außerdem erhält der Programmierer aus Indien eine Belohnung von 12.500 US-Dollar.


eye home zur Startseite
Emulex 13. Feb 2015

Wah! Angriff der Klonkrieger! Dachte das gleiche.

TheBigLou13 13. Feb 2015

Wer sagt das? Idr werden Nutzerdaten (auch bilder) redundant auf mehrere Server...

homilolto 13. Feb 2015

Undankbarer Zuckerberg! Wenn ich auch eine Lücke finde, werde ich die gnadenlos...

__destruct() 13. Feb 2015

Das ist Englisch. Aber sowas von. Frag ein Wörterbuch oder jemanden, der Englisch spricht.

blizzy 13. Feb 2015

Bei dem Müll, der täglich auf FB gepostet und geteilt wird, wäre es sogar ganz...



Anzeige

Stellenmarkt
  1. Bechtle Onsite Services GmbH, Neckarsulm
  2. FILIADATA GmbH, Karlsruhe
  3. über Baumann Unternehmensberatung AG, Ingolstadt, München, Stuttgart
  4. VITRONIC Dr.-Ing. Stein Bildverarbeitungssysteme GmbH, Wiesbaden


Anzeige
Hardware-Angebote
  1. und bis zu 60€ Steam-Guthaben erhalten
  2. ab 649,90€
  3. (täglich neue Deals)

Folgen Sie uns
       


  1. ZTE

    Chinas großes 5G-Testprojekt läuft weiter

  2. Ubisoft

    Far Cry 5 bietet Kampf gegen Sekte in und über Montana

  3. Rockstar Games

    Waffenschiebereien in GTA 5

  4. Browser-Games

    Unreal Engine 4.16 unterstützt Wasm und WebGL 2.0

  5. Hasskommentare

    Bundesrat fordert zahlreiche Änderungen an Maas-Gesetz

  6. GVFS

    Windows-Team nutzt fast vollständig Git

  7. Netzneutralität

    Verbraucherschützer wollen Verbot von Stream On der Telekom

  8. Wahlprogramm

    SPD fordert Anzeigepflicht für "relevante Inhalte" im Netz

  9. Funkfrequenzen

    Bundesnetzagentur und Alibaba wollen Produkte sperren

  10. Elektromobilität

    Qualcomm lädt E-Autos während der Fahrt auf



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Panasonic Lumix GH5 im Test: Die Kamera, auf die wir gewartet haben
Panasonic Lumix GH5 im Test
Die Kamera, auf die wir gewartet haben
  1. Die Woche im Video Scharfes Video, spartanisches Windows, spaßige Switch

Asus B9440 im Test: Leichtes Geschäftsnotebook liefert zu wenig Business
Asus B9440 im Test
Leichtes Geschäftsnotebook liefert zu wenig Business
  1. ROG-Event in Berlin Asus zeigt gekrümmtes 165-Hz-Quantum-Dot-Display und mehr

Elektromobilität: Wie kommt der Strom in die Tiefgarage?
Elektromobilität
Wie kommt der Strom in die Tiefgarage?
  1. Elektroauto Tesla gewährt rückwirkend Supercharger-Gratisnutzung
  2. Elektroautos Merkel hofft auf Bau von Batteriezellen in Deutschland
  3. Strategische Entscheidung Volvo setzt voll auf Elektro und trennt sich vom Diesel

  1. Re: Mit Stream On gibt es noch ein ganz anderes...

    dieser_post_ist... | 00:30

  2. Re: Gesundheitsrisiken?

    xProcyonx | 00:28

  3. Re: "Wenn die Kosten sich dafür lohnen"

    Carlo Escobar | 00:08

  4. Re: Ich werd es mir wohl kaufen oder gibt es...

    Porterex | 00:01

  5. Re: Was habe ich von Netzneutralität als Kunde?

    Teeklee | 26.05. 23:58


  1. 17:40

  2. 16:40

  3. 16:29

  4. 16:27

  5. 15:15

  6. 13:35

  7. 13:17

  8. 13:05


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel