Abo
  • Services:
Anzeige
Eine Schwachstelle in der Facebook-API erlaubte das Löschen fremder Fotoalben.
Eine Schwachstelle in der Facebook-API erlaubte das Löschen fremder Fotoalben. (Bild: Mladen Antonov/AFP/Getty Images)

API-Fehler: Facebook-Entwickler konnten Fotos löschen

Eine Schwachstelle in der Facebook-API erlaubte das Löschen fremder Fotoalben.
Eine Schwachstelle in der Facebook-API erlaubte das Löschen fremder Fotoalben. (Bild: Mladen Antonov/AFP/Getty Images)

Wegen eines Konfigurationsfehlers konnten über die Facebook-API beliebige Fotos und Alben gelöscht werden. Die Schwachstelle wurde umgehend geschlossen. Der Entdecker erhielt eine hohe Belohnung.

Die Löschfunktion für alle Fotoalben in der mobilen Version der Facebook-App machte einen Entwickler neugierig. Denn über die bei Facebook verwendete Graph API ist das eigentlich nicht möglich. So steht es auch in der Beschreibung. Laxman Muthiyah hat mit einem mobilen Token nochmals überprüft, ob es nicht doch funktioniert und war erfolgreich. Theoretisch hätte er so sämtliche Fotos aller Facebook-Benutzer löschen können, schreibt Muthiyah in seinem Blog. Entwickler, die die Graph API nutzen wollen, erhalten einen Zugangscode, einen sogenannten Token. Davon gibt es verschiedene. Zunächst probierte Muthiyah den Token für seinen Explorer-Zugang aus, um eines seiner Fotoalben zu löschen. Die Fehlermeldung, die er erhielt, besagte, dass seine Applikation nicht die Erlaubnis dazu habe. Die Meldung habe aber impliziert, dass eine andere durchaus die Möglichkeit dazu haben könnte, schreibt der Entwickler.

Anzeige

Deshalb versuchte es Muthiyah mit einem Token für mobile Anwendungen unter Android. Den Token habe er im Datenverkehr zwischen einer Applikation und den Facebook-Servern abgefangen. Seine Testapplikation hatte damit die Erlaubnis, eines seiner Alben zu löschen. Dazu waren die Node-ID und besagter Token notwendig. Die Node-ID lässt sich über die URL im Browser ermitteln.

Schnell repariert, üppig entlohnt

Muthiyah versuchte jetzt, seine Löschaktion mit einer fremden Node-ID auszuführen - und war überrascht, dass er auch damit erfolgreich war. Er hätte so Fotoalben sämtlicher Benutzer löschen können, schreibt er.

Stattdessen informierte Muthiyah das Social-Media-Unternehmen. Die Entwicklungsabteilung dort reagierte umgehend. Innerhalb von zwei Stunden sei die Schwachstelle geschlossen worden, berichtet Muthiyah. Außerdem erhält der Programmierer aus Indien eine Belohnung von 12.500 US-Dollar.


eye home zur Startseite
Emulex 13. Feb 2015

Wah! Angriff der Klonkrieger! Dachte das gleiche.

TheBigLou13 13. Feb 2015

Wer sagt das? Idr werden Nutzerdaten (auch bilder) redundant auf mehrere Server...

homilolto 13. Feb 2015

Undankbarer Zuckerberg! Wenn ich auch eine Lücke finde, werde ich die gnadenlos...

__destruct() 13. Feb 2015

Das ist Englisch. Aber sowas von. Frag ein Wörterbuch oder jemanden, der Englisch spricht.

blizzy 13. Feb 2015

Bei dem Müll, der täglich auf FB gepostet und geteilt wird, wäre es sogar ganz...



Anzeige

Stellenmarkt
  1. Senatskanzlei Hamburg, Hamburg
  2. GLOBALG.A.P. c/o FoodPLUS GmbH, Köln
  3. Alte Hansestadt Lemgo, Lemgo
  4. GDS GmbH, Hamburg


Anzeige
Top-Angebote
  1. mit Gutscheincode PLUSFEB (max. Rabatt 50€)
  2. zusammen nur 3,99€

Folgen Sie uns
       


  1. Wochenrückblick

    Früher war nicht alles besser

  2. Raumfahrt

    Falsch abgebogen wegen Eingabefehler

  3. Cloud

    AWS bringt den Appstore für Serverless-Software

  4. Free-to-Play-Strategie

    Total War Arena beginnt den Betabetrieb

  5. Funkchip

    US-Grenzbeamte können Pass-Signaturen nicht prüfen

  6. Telekom-Chef

    "Sorry! Da ist mir der Gaul durchgegangen"

  7. WD20SPZX

    Auch Western Digital bringt flache 2-TByte-HDD

  8. Metal Gear Survive im Test

    Himmelfahrtskommando ohne Solid Snake

  9. Cloud IoT Core

    Googles Cloud verwaltet weltweit IoT-Anlagen

  10. Schweden

    Netzbetreiber bietet 10 GBit/s für 45 Euro



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Freier Media-Player: VLC 3.0 eint alle Plattformen
Freier Media-Player
VLC 3.0 eint alle Plattformen

Fujitsu Lifebook U727 im Test: Kleines, blinkendes Anschlusswunder
Fujitsu Lifebook U727 im Test
Kleines, blinkendes Anschlusswunder
  1. Palmsecure Windows Hello wird bald Fujitsus Venenscanner unterstützen
  2. HP und Fujitsu Mechanischer Docking-Port bleibt bis 2019
  3. Stylistic Q738 Fujitsus 789-Gramm-Tablet kommt mit vielen Anschlüssen

Razer Kiyo und Seiren X im Test: Nicht professionell, aber schnell im Einsatz
Razer Kiyo und Seiren X im Test
Nicht professionell, aber schnell im Einsatz
  1. Stereolautsprecher Razer Nommo "Sind das Haartrockner?"
  2. Nextbit Cloud-Speicher für Robin-Smartphone wird abgeschaltet
  3. Razer Akku- und kabellose Spielemaus Mamba Hyperflux vorgestellt

  1. Re: Und in Deutschland haben wir die Telekom

    Dwalinn | 09:36

  2. Re: Wer braucht denn das?

    josef_mo | 09:30

  3. Re: Das sagt eine Schlange auch

    ML82 | 09:26

  4. Egal ob 1 oder 10gbit die Datenmenge bleibt gleich...

    Unix_Linux | 09:26

  5. Re: Die Xiaomi-App übermittelt den Standort

    cbug | 09:17


  1. 09:02

  2. 17:17

  3. 16:50

  4. 16:05

  5. 15:45

  6. 15:24

  7. 14:47

  8. 14:10


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel