Mo, 21. Jänner 2019

Mega-Sicherheitsleck

12.05.2011 11:09

Facebook erlaubte über Jahre Zugriff auf Nutzerdaten

Schon wieder ist ein schweres Datenleck beim sozialen Netzwerk Facebook aufgeflogen - diesmal soll es sich jedoch um ein Versehen handeln, so die Entdecker, die Sicherheitsfirma Symantec, am Dienstag. Facebook hat demnach seit 2007 Dritten - darunter etwa Werbekunden - unabsichtlich Zugriff auf Nutzerprofile, Fotos und Online-Konversationen gewährt. Über die Jahre könnten Hunderttausende Anwendungen dies ermöglicht haben. Facebook hat die Lücke nun geschlossen, die Experten empfehlen dennoch allen Nutzern, ihr Passwort zu ändern.

Betroffen von der Sicherheitslücke sind laut Symantec potenziell alle Facebook-Nutzer, die Apps nutzen. Das sind Miniprogramme, die sich seit 2007 in das soziale Netzwerk integrieren lassen. Dabei handelt es sich etwa um Spiele oder um Anwendungen, die Umfragen unter Internetfreunden ermöglichen, Horoskope oder Sprüche des Tages liefern. Facebook-Nutzer installieren dem Netzwerk zufolge täglich 20 Millionen Apps.

Wer eine App nutzt, muss dieser im Allgemeinen bestimmte Rechte einräumen. Dadurch kann die Anwendung beispielsweise Einträge im Namen des Nutzers veröffentlichen - also etwa den Spruch oder das Horoskop des Tages - oder die Liste von dessen Facebook-Freunden auslesen. Teilweise gehen die Berechtigungen so weit, dass die Anwendungen Zugriff auf Fotos, Nachrichten und Chats der Nutzer verlangen. Um auf die Daten zugreifen zu können, erhalten die Apps sogenannte Tokens - eine Art Ersatzschlüssel für die Facebook-Konten.

"Schlüssel" für Profile an Werber weitergegeben
Um von dem Problem betroffen zu sein, mussten also Nutzer überhaupt erst einmal entsprechende Berechtigungen an Anwendungen erteilen. Viele Anwendungen haben die Tokens aber - nach Darstellung von Symantec unbewusst - an Werbepartner weitergegeben. Diese hätten damit also teilweise vollen Zugriff auf die Nutzerprofile erhalten.

Nutznießer könnten Lücke übersehen haben
"Glücklicherweise könnten diese dritten Parteien aber gar nicht bemerkt haben, dass sie auf die Informationen zugreifen konnten", erklärte Symantec. Es gebe auch keine Hinweise auf einen Missbrauch der Sicherheitslücke. Zuletzt seien noch schätzungsweise 100.000 Apps betroffen gewesen, über die vier Jahre waren es laut Symantec wohl Hunderttausende.

Spezialisten raten zu Passwortänderung
Symantec wies Facebook auf das Problem hin, worauf das soziale Netzwerk die Sicherheitslücke nach eigenen Angaben schloss. Das heißt laut Symantec aber nur, dass keine neuen Tokens weitergegeben werden können, alte Schlüssel hingegen behalten ihre Gültigkeit und öffnen weiter Tür und Tor zu Facebook-Profilen. Facebook-Nutzer, die davon betroffen sein könnten, sollten deshalb ihre Passwörter ändern, riet der Sicherheitsspezialist. Dadurch verlören die alten Tokens ihre Gültigkeit.

Facebook setzt auf Ehrlichkeit der Werber
Facebook erkannte die Sicherheitslücke an, bemängelte aber "Ungenauigkeiten" im Symantec-Bericht. Schließlich werde Missbrauch in den Vertragsbedingungen der Plattform untersagt: "Der Bericht ignoriert die vertraglichen Verpflichtungen von Werbepartnern und Entwicklern, die ihnen untersagen, Nutzerdaten in einer Art und Weise zu erhalten oder zu veröffentlichten, die unsere Vorgaben verletzt", erklärte Facebook.

Kommentare

Eingeloggt als 
Nicht der richtige User? Logout

Willkommen in unserer Community! Eingehende Beiträge werden geprüft und anschließend veröffentlicht. Bitte achten Sie auf Einhaltung unserer Netiquette und AGB. Für ausführliche Diskussionen steht Ihnen ebenso das krone.at-Forum zur Verfügung.

User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).

Aktuelle Schlagzeilen
Superstar als Joker
Barcelona besiegt Leganes vor allem dank Messi!
Fußball International
Braucht nur ein Tor
Bald-36-Jähriger neuer Rekordaspirant in Italien
Fußball International
Gegen Fulham
Tor in 92. Minute! Tottenham siegt auch ohne Kane
Fußball International
Finale knapp verloren
Super! Hockey-Juniorinnen holen Silber bei EM
Sport-Mix
England-Aufschrei
Vom eigenen Fan getreten, wo es am meisten Weh tut
Fußball International
Schalke erkämpft Sieg
2:1! Caligiuri und Schöpf fertigen Wolfsburg ab
Fußball International
Per Heli ins Spital
Unfall auf Skipiste: Bub (6) schwer verletzt
Steiermark
Zwei Tino-Assists
3:1! Lazaro und Co. spielen „Club“ schwindlig!
Fußball International
Bestes Weltcupresultat
Friedrich holt Igls-Double - Treichl im Vierer 9.
Wintersport
3:0 bei Trainerlosen
Mancity gibt sich gegen Huddersfield keine Blöße!
Fußball International
„Wie viele noch?“
Große Wut und tiefe Trauer nach Mord an Manuela
Niederösterreich

Newsletter

Melden Sie sich hier mit Ihrer E-Mail-Adresse an, um täglich den "Krone"-Newsletter zu erhalten.