Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Schwere Sicherheitslücke: Inder hätte massenhaft Facebook-Fotos löschen können

Facebook: Schwere Sicherheitslücke gefährdete Fotoalben Zur Großansicht
DPA

Facebook: Schwere Sicherheitslücke gefährdete Fotoalben

Ein Blogger aus Indien hat einen einfachen Weg entdeckt, alle für ihn sichtbaren Fotoalben auf Facebook zu löschen. Er berichtete den Betreibern des sozialen Netzwerks von der Sicherheitslücke - und wird nun großzügig belohnt.

Alandur/Palo Alto - Laxman Muthiyah hat Facebook und seine rund 1,4 Milliarden Nutzer vor einem drohenden Debakel bewahrt. Der Webdesigner aus Indien hatte vor einigen Tagen eine schwere Sicherheitslücke in der Schnittstelle des sozialen Netzwerks entdeckt - und zwar in einer Plattform, auf die alle Apps mit Facebook-Anbindung zugreifen. Per Zufall fand Muthiyah heraus, wie er mit einem einfachen Befehl und ohne Zugangsdaten praktisch jedes für ihn sichtbare und damit alle öffentlichen Fotoalben bei Facebook hätte löschen können.

In einem Blogbeitrag erklärt der Entwickler, wie einfach er die Alben per Fernzugriff löschen konnte. Muthiyah kopierte sich einfach die ID eines für ihn sichtbaren Fotoalbums aus der Browserzeile und führte einen kurzen Löschbefehl über die sogenannte Facebook Graph API aus. Das ist eine Schnittstelle, auf die Apps von Drittanbietern zugreifen, um beispielsweise Statusmeldungen im Namen der Nutzer in der Facebook-Timeline zu posten. Ganz ohne Zugriffserlaubnis und Passwort des Nutzers gelang es ihm, sämtliche Fotos aus dem Album zu entfernen. Diese Methode klappte mit allen Fotoalben, deren ID er aus der URL kopieren konnte.

Als er das Ausmaß des Problems erkannte, habe er sich sofort an Facebook gewandt, schreibt Muthiyah in seinem Blog. Dort realisierten die Entwickler offenbar schnell, dass es sich um eine schwere Sicherheitslücke handelte. Muthiyah schreibt: "Sie haben das Problem unglaublich schnell erkannt und den Fehler binnen weniger als zwei Stunden behoben, nachdem sie mir mitgeteilt hatten, dass der Bericht eingegangen war."

Seine Ehrlichkeit hat sich für Laxman Muthiyah gelohnt: Facebook zahlt dem Entdecker des Softwarefehlers einen Finderlohn in Höhe von 12.500 Dollar. Außerdem steht sein Name nun in der Hall of Fame der Bug-Melder.

Gegenüber dem Sicherheitsportal "Naked Security" sagte ein Facebook-Sprecher: "Wir danken dem Forscher, der uns dieses Problem über unser Bug-Bounty-Programm berichtet hat." Der Sprecher betonte jedoch, dass lediglich die Fotoalben betroffen waren, die basierend auf den Privatsphäre-Einstellungen für den Angreifer sichtbar gewesen wären.

jbr

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 8 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Belohnung!
Nice2know 13.02.2015
Und wieviel Belohnung hat der Mann von dem Milliarden-Dollar-Konzern erhalten? Eine Kaffeetasse vielleicht oder ein Mauspad?
2. @Nice2know
Pontifaz 13.02.2015
Steht im Text. Erst (vollständig) lesen, dann kommentieren.
3. @nice2know:
Ulrike E. 13.02.2015
Steht im vorletzten Abschnitt: *12.500 US-$* und die Aufnahme in der Hall of Fame der Bugfinder. Eigentlich hätte man diesem Herrn auch mehr bezahlen können, da es eine sehr frappante Sicherheitslücke war: Ein Löschbefehl und *alle öffentliche Bildersammlungen auf Facebook* sind weg.
4. fair
gideontaylor 13.02.2015
12.500$ Entlohnung finde ich fair. Erschreckend ist nur wie schlecht der ACL implementiert wurde.
5.
Stäffelesrutscher 13.02.2015
»Er berichtete den Betreibern des sozialen Netzwerks von der Sicherheitslücke - und wird nun großzügig belohnt.« Großzügig??? Dann muss bei dem genannten Betrag - 12.500 Dollar - das Komma wohl mindestens zwei Stellen nach links verrutscht sein.
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



Zum Autor
  • Jörg Breithut sucht von Stuttgart aus nach Themen im Internet. Und schreibt sie dort auch wieder rein.

  • Blog von Jörg Breithut

Netzwelt auf Twitter

Über diesen Account erreichen Sie das Ressort und verpassen keinen Artikel.



Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: