Abo
  • Services:
Anzeige
Eine Schwachstelle in der Facebook-API erlaubte das Löschen fremder Fotoalben.
Eine Schwachstelle in der Facebook-API erlaubte das Löschen fremder Fotoalben. (Bild: Mladen Antonov/AFP/Getty Images)

API-Fehler: Facebook-Entwickler konnten Fotos löschen

Eine Schwachstelle in der Facebook-API erlaubte das Löschen fremder Fotoalben.
Eine Schwachstelle in der Facebook-API erlaubte das Löschen fremder Fotoalben. (Bild: Mladen Antonov/AFP/Getty Images)

Wegen eines Konfigurationsfehlers konnten über die Facebook-API beliebige Fotos und Alben gelöscht werden. Die Schwachstelle wurde umgehend geschlossen. Der Entdecker erhielt eine hohe Belohnung.

Die Löschfunktion für alle Fotoalben in der mobilen Version der Facebook-App machte einen Entwickler neugierig. Denn über die bei Facebook verwendete Graph API ist das eigentlich nicht möglich. So steht es auch in der Beschreibung. Laxman Muthiyah hat mit einem mobilen Token nochmals überprüft, ob es nicht doch funktioniert und war erfolgreich. Theoretisch hätte er so sämtliche Fotos aller Facebook-Benutzer löschen können, schreibt Muthiyah in seinem Blog. Entwickler, die die Graph API nutzen wollen, erhalten einen Zugangscode, einen sogenannten Token. Davon gibt es verschiedene. Zunächst probierte Muthiyah den Token für seinen Explorer-Zugang aus, um eines seiner Fotoalben zu löschen. Die Fehlermeldung, die er erhielt, besagte, dass seine Applikation nicht die Erlaubnis dazu habe. Die Meldung habe aber impliziert, dass eine andere durchaus die Möglichkeit dazu haben könnte, schreibt der Entwickler.

Deshalb versuchte es Muthiyah mit einem Token für mobile Anwendungen unter Android. Den Token habe er im Datenverkehr zwischen einer Applikation und den Facebook-Servern abgefangen. Seine Testapplikation hatte damit die Erlaubnis, eines seiner Alben zu löschen. Dazu waren die Node-ID und besagter Token notwendig. Die Node-ID lässt sich über die URL im Browser ermitteln.

Anzeige

Schnell repariert, üppig entlohnt

Muthiyah versuchte jetzt, seine Löschaktion mit einer fremden Node-ID auszuführen - und war überrascht, dass er auch damit erfolgreich war. Er hätte so Fotoalben sämtlicher Benutzer löschen können, schreibt er.

Stattdessen informierte Muthiyah das Social-Media-Unternehmen. Die Entwicklungsabteilung dort reagierte umgehend. Innerhalb von zwei Stunden sei die Schwachstelle geschlossen worden, berichtet Muthiyah. Außerdem erhält der Programmierer aus Indien eine Belohnung von 12.500 US-Dollar.


eye home zur Startseite
Emulex 13. Feb 2015

Wah! Angriff der Klonkrieger! Dachte das gleiche.

TheBigLou13 13. Feb 2015

Wer sagt das? Idr werden Nutzerdaten (auch bilder) redundant auf mehrere Server...

homilolto 13. Feb 2015

Undankbarer Zuckerberg! Wenn ich auch eine Lücke finde, werde ich die gnadenlos...

__destruct() 13. Feb 2015

Das ist Englisch. Aber sowas von. Frag ein Wörterbuch oder jemanden, der Englisch spricht.

blizzy 13. Feb 2015

Bei dem Müll, der täglich auf FB gepostet und geteilt wird, wäre es sogar ganz...



Anzeige

Stellenmarkt
  1. R&S Cybersecurity ipoque GmbH, Leipzig
  2. Jobware Online-Service GmbH, Paderborn
  3. OSRAM GmbH, Garching bei München
  4. LogControl GmbH, Pforzheim


Anzeige
Hardware-Angebote
  1. 17,99€ statt 29,99€
  2. und bis zu 60€ Steam-Guthaben erhalten

Folgen Sie uns
       


  1. Neuauflage

    Neues Nokia 3310 soll bei Defekt komplett ersetzt werden

  2. Surface Studio

    Microsofts Grafikerstation kommt nach Deutschland

  3. Polar

    Fitnesstracker A370 mit Tiefschlaf- und Pulsmessung

  4. Schutz

    Amazon rechtfertigt Sperrungen von Marketplace-Händlern

  5. CPU-Architektur

    RISC-V-Patches für Linux erstmals eingereicht

  6. FSP Hydro PTM+

    Wassergekühltes PC-Netzteil liefert 1.400 Watt

  7. Matebook X und E im Hands on

    Huawei kann auch Notebooks

  8. Celsius-Workstations

    Fujitsu bringt sichere Notebooks und kabellose Desktops

  9. O2 und E-Plus

    Telefónica hat weiter Probleme außerhalb von Städten

  10. Project Zero

    Google-Entwickler baut Windows-Loader für Linux



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Quantencomputer: Nano-Kühlung für Qubits
Quantencomputer
Nano-Kühlung für Qubits
  1. IBM Q Mehr Qubits von IBM
  2. Quantencomputer Was sind diese Qubits?
  3. Verschlüsselung Kryptographie im Quantenzeitalter

Tado im Langzeittest: Am Ende der Heizperiode
Tado im Langzeittest
Am Ende der Heizperiode
  1. Speedport Smart Telekom bringt Smart-Home-Funktionen auf den Speedport
  2. Tapdo Das Smart Home mit Fingerabdrücken steuern
  3. Mehr Möbel als Gadget Eine Holzfernbedienung für das Smart Home

Blackberry Keyone im Test: Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
Blackberry Keyone im Test
Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
  1. Blackberry Keyone kommt Mitte Mai
  2. Keyone Blackberrys neues Tastatur-Smartphone kommt später
  3. Blackberry Keyone im Hands on Android-Smartphone mit toller Hardware-Tastatur

  1. Re: 16GB RAM unzeitgemäß

    matzems | 17:54

  2. Wer ahnt hier Zusammenhänge????

    gast22 | 17:53

  3. Re: Nicht nur O2. ALLE haben aktuell Probleme...

    gast22 | 17:53

  4. Re: Was verbaut man da drin?

    Sharra | 17:51

  5. Re: Kann nicht sein!!!

    sfe (Golem.de) | 17:49


  1. 17:59

  2. 17:44

  3. 17:20

  4. 16:59

  5. 16:30

  6. 15:40

  7. 15:32

  8. 15:20


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel