Peinliche Panne: Problem mit Neujahrgrüßen bei Facebook

Facebook hat zum Jahreswechsel einen neuen Dienst bereitgestellt. Damit lassen sich Neujahrswünsche vorab einstellen und pünktlich zum Jahreswechsel versenden. Doch auf die vorab eingestellten Nachrichten konnte jeder zugreifen.

Artikel veröffentlicht am ,
Neujahrsgrüße anderer Nutzer waren durch ID-Tausch einsehbar.
Neujahrsgrüße anderer Nutzer waren durch ID-Tausch einsehbar. (Bild: Facebook)

Der Blogger Jack Jenkins hat ein Sicherheitsproblem bei Facebooks Neujahrsgrüßen entdeckt: Wird eine Nachricht eingestellt, die zum Jahreswechsel verschickt werden soll, generiert Facebook eine Bestätigungsseite. Und darin liegt das Problem, denn diese Seiten haben ein einfaches URL-Schema, so dass sich mit Änderung einer ID beliebige Nachrichten anderer Nutzer einsehen ließen, bis Facebook aufgrund der Meldung die Funktion abgeschaltet hat.

Stellenmarkt
  1. IT-Administrator (m/w/d) Windows-Systeme/MS SQL
    UmweltBank AG, Nürnberg
  2. Systemadministrator (m/w/d)
    Wentronic GmbH, Braunschweig
Detailsuche

Da Facebook in der URL eine einfache numerische ID verwendet, genügte es, die Zahl zu ändern, um Neujahrsgrüße anderer Nutzer einzusehen, wie Jenkins beschreibt. Text und eingebettete Bilder sowie Adressaten waren sichtbar, der Absender nicht. Hier blendet Facebook das Bild des Nutzers ein, der die Seite abruft, sofern er bei Facebook angemeldet ist. So war nicht erkennbar, wer die Nachricht abgesandt hat.

Allerdings war es auf diesem Weg auch möglich, die Nachrichten fremder Nutzer zu löschen, bevor sie ausgeliefert wurden.

Facebook hat US-Medien die Sicherheitslücke bestätigt, die Funktion vorübergehend abgeschaltet und arbeitet derzeit an einer Korrektur.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Windows und Office
Microsoft-Accounts funktionieren jetzt auch ohne Passwörter

Das passwortlose Anmelden wird bereits von einigen Microsoft-Kunden genutzt. Die Funktion wird nun auf alle Konten ausgeweitet.

Windows und Office: Microsoft-Accounts funktionieren jetzt auch ohne Passwörter
Artikel
  1. Apple: iPhone 13 Pro nimmt Prores in 4K nur mit großem Speicher auf
    Apple
    iPhone 13 Pro nimmt Prores in 4K nur mit großem Speicher auf

    Wer mit dem neuen iPhone 13 Pro Videos in 4K im Profiformat Prores aufnehmen will, darf kein Gerät mit kleinem Speicher kaufen.

  2. Bürosuite: Kaufversion von Microsoft Office 2021 kommt im Oktober
    Bürosuite
    Kaufversion von Microsoft Office 2021 kommt im Oktober

    Wer Office nicht abonnieren, sondern kaufen will, kann ab 5. Oktober 2021 die neue Version Office 2021 erwerben.

  3. Abmahnungen: Verbraucherschützer gegen rechtswidrige Cookie-Banner
    Abmahnungen
    Verbraucherschützer gegen rechtswidrige Cookie-Banner

    Die Verbraucherzentralen haben fast 100 Unternehmen abgemahnt, weil diese sich rechtswidrig eine Cookie-Zustimmung erschlichen haben sollen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MM Breaking Deals mit Club-Rabatten (u. a. Samsung 65" QLED 2021 1.189,15€) • Alternate-Deals (u. a. Netgear-Repeater 26,90€) • MM Club-Tage: Bis zu 15% auf TVs, PCs, Monitore uvm.) • Xiaomi 11T 5G vorbestellbar 549€ • Saturn-Deals (u. a. Samsung 55" QLED (2021) 849,15€) [Werbung]
    •  /