Schwere Sicherheitslücke Inder hätte massenhaft Facebook-Fotos löschen können

Ein Blogger aus Indien hat einen einfachen Weg entdeckt, alle für ihn sichtbaren Fotoalben auf Facebook zu löschen. Er berichtete den Betreibern des sozialen Netzwerks von der Sicherheitslücke - und wird nun großzügig belohnt.

Facebook: Schwere Sicherheitslücke gefährdete Fotoalben
DPA

Facebook: Schwere Sicherheitslücke gefährdete Fotoalben


Alandur/Palo Alto - Laxman Muthiyah hat Facebook und seine rund 1,4 Milliarden Nutzer vor einem drohenden Debakel bewahrt. Der Webdesigner aus Indien hatte vor einigen Tagen eine schwere Sicherheitslücke in der Schnittstelle des sozialen Netzwerks entdeckt - und zwar in einer Plattform, auf die alle Apps mit Facebook-Anbindung zugreifen. Per Zufall fand Muthiyah heraus, wie er mit einem einfachen Befehl und ohne Zugangsdaten praktisch jedes für ihn sichtbare und damit alle öffentlichen Fotoalben bei Facebook hätte löschen können.

In einem Blogbeitrag erklärt der Entwickler, wie einfach er die Alben per Fernzugriff löschen konnte. Muthiyah kopierte sich einfach die ID eines für ihn sichtbaren Fotoalbums aus der Browserzeile und führte einen kurzen Löschbefehl über die sogenannte Facebook Graph API aus. Das ist eine Schnittstelle, auf die Apps von Drittanbietern zugreifen, um beispielsweise Statusmeldungen im Namen der Nutzer in der Facebook-Timeline zu posten. Ganz ohne Zugriffserlaubnis und Passwort des Nutzers gelang es ihm, sämtliche Fotos aus dem Album zu entfernen. Diese Methode klappte mit allen Fotoalben, deren ID er aus der URL kopieren konnte.

Als er das Ausmaß des Problems erkannte, habe er sich sofort an Facebook gewandt, schreibt Muthiyah in seinem Blog. Dort realisierten die Entwickler offenbar schnell, dass es sich um eine schwere Sicherheitslücke handelte. Muthiyah schreibt: "Sie haben das Problem unglaublich schnell erkannt und den Fehler binnen weniger als zwei Stunden behoben, nachdem sie mir mitgeteilt hatten, dass der Bericht eingegangen war."

Seine Ehrlichkeit hat sich für Laxman Muthiyah gelohnt: Facebook zahlt dem Entdecker des Softwarefehlers einen Finderlohn in Höhe von 12.500 Dollar. Außerdem steht sein Name nun in der Hall of Fame der Bug-Melder.

Gegenüber dem Sicherheitsportal "Naked Security" sagte ein Facebook-Sprecher: "Wir danken dem Forscher, der uns dieses Problem über unser Bug-Bounty-Programm berichtet hat." Der Sprecher betonte jedoch, dass lediglich die Fotoalben betroffen waren, die basierend auf den Privatsphäre-Einstellungen für den Angreifer sichtbar gewesen wären.

jbr



Forum - Diskutieren Sie über diesen Artikel
insgesamt 8 Beiträge
Alle Kommentare öffnen
Seite 1
Nice2know 13.02.2015
1. Belohnung!
Und wieviel Belohnung hat der Mann von dem Milliarden-Dollar-Konzern erhalten? Eine Kaffeetasse vielleicht oder ein Mauspad?
Pontifaz 13.02.2015
2. @Nice2know
Steht im Text. Erst (vollständig) lesen, dann kommentieren.
Ulrike E. 13.02.2015
3. @nice2know:
Steht im vorletzten Abschnitt: *12.500 US-$* und die Aufnahme in der Hall of Fame der Bugfinder. Eigentlich hätte man diesem Herrn auch mehr bezahlen können, da es eine sehr frappante Sicherheitslücke war: Ein Löschbefehl und *alle öffentliche Bildersammlungen auf Facebook* sind weg.
gideontaylor 13.02.2015
4. fair
12.500$ Entlohnung finde ich fair. Erschreckend ist nur wie schlecht der ACL implementiert wurde.
Stäffelesrutscher 13.02.2015
5.
»Er berichtete den Betreibern des sozialen Netzwerks von der Sicherheitslücke - und wird nun großzügig belohnt.« Großzügig??? Dann muss bei dem genannten Betrag - 12.500 Dollar - das Komma wohl mindestens zwei Stellen nach links verrutscht sein.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.