Soziales Netzwerk Facebook stopfte Datenleck erst nach vier Jahren

Der Fehler bestand seit 2007, erst jetzt wurde er beseitigt: Werbekunden konnten über Jahre auf die Profile von Facebook-Anwendern zugreifen, Fotos ansehen, Chats mitlesen. Nach dem Hinweis einer Sicherheitsfirma wurde die Datenlücke geschlossen - Nutzer sollten trotzdem wachsam sein.

Von

Facebook-Nutzer: Sicherheitsfirma Symantec rät zum Wechsel des Passworts
DPA

Facebook-Nutzer: Sicherheitsfirma Symantec rät zum Wechsel des Passworts


Software-Experten der Sicherheitsfirma Symantec haben ein Datenleck bei Facebook entdeckt. Betroffen ist die Freigabe bestimmter Datenzugriffe für Facebook-Anwendungen. Laut Symantec hatten Dritte - in erster Linie Facebooks Werbekunden - Zugriff auf Facebook-Profile, Fotos und Chats. Sie hätten sogar Status-Meldungen im Namen der Betroffenen versenden können.

Es ist nicht das erste Mal, dass Facebook von einer derartigen Sicherheitslücke betroffen ist. Ende 2010 hatte es schon einmal ein ähnlich gelagertes Problem gegeben, bei dem einige Facebook-Anwendungen die eindeutigen Profilnummern von Anwendern an Werbefirmen und Adresshändler weiterreichten.

Der Grund für die ungewollte Offenheit: Versehentlich wurden den Werbetreibenden sogenannte access tokens der Anwender übertragen. Dabei handelt es sich quasi um Ersatzschlüssel für den Vollzugriff auf Profildaten der Facebook-Anwender, erklären die Symantec-Experten. Bis April hätten schätzungsweise 100.000 Facebook-Apps durch diesen Fehler Zugang zu solchen access tokens gehabt. Täglich würden rund 20 Millionen Facebook-Apps installiert. Da der Fehler zudem sei der Einführung von Facebook-Apps im Jahr 2007 besteht, ist der potentielle Schaden gewaltig - zumindest theoretisch.

Die Symantec-Sicherheitsexperten Nishant Doshi und Candid Wueest bezweifeln allerdings, dass überhaupt ein Schaden entstanden ist. Ihr Argument: "Glücklicherweise haben die Drittanbieter ihre Möglichkeit, auf diese Informationen zuzugreifen, wahrscheinlich gar nicht erkannt". Bevor sie ihre Entdeckung veröffentlichten, informierten die Symantec-Mitarbeiter das Soziale Netzwerk über die Schwachstelle. Facebook reagierte umgehend, beseitigte das Problem in der Anbindung von Facebook-Apps und informierte Entwickler von Drittanbieter-Apps über die Änderungen.

Es kann nicht sein, was nicht sein darf

In einer Stellungnahme beklagt sich Facebook zudem darüber, der Symantec-Bericht enthalte "einige Ungenauigkeiten". Vor allem habe man "eine genaue Untersuchung durchgeführt, die keine Anhaltspunkte dafür lieferte, dass persönliche Informationen von Unbefugten genutzt wurden". Auch ignoriere der Bericht, "die vertraglichen Verpflichtungen von Werbekunden und Entwicklern". Die untersagen es, "persönliche Informationen von Facebook-Anwendern auf eine Weise zu beschaffen oder zu verbreiten, die den Facebook-Vorgaben widerspricht". Mit anderen Worten: Es ist verboten, also dürfte es nicht passieren.

Symantec urteilt, man könne trotz der Änderungen, die Facebook nun eingeführt hat, noch keine Entwarnung geben. So sei es vollkommen unabschätzbar, wie viele der fraglichen access tokens seit 2007 ausgeliefert worden seien. Viele davon, fürchten die Experten, könnten immer noch im Umlauf sein.

Zur Sicherheit sollte man deshalb umgehend sein Facebook-Passwort ändern, empfehlen Nishant Doshi und Candid Wueest. Das sei ungefähr so, als würde man das Schloss an seiner Haustür auswechseln - wodurch der Ersatzschlüssel unbrauchbar würde.

Forum - Diskutieren Sie über diesen Artikel
insgesamt 66 Beiträge
Alle Kommentare öffnen
Seite 1
sir.viver 11.05.2011
1. Exebitionismus.com
Wer BRAUCHT schon Facebook? Dieses Selbstdarstellungsverlangen habe ich nicht, daher brauche ich auch kein Facebook.
spon-1303474127979 11.05.2011
2. wer das glaubt,
daß dies ungewollt ist, der glaubt an den weihnachtsmann und an den osterhasen. da wird mit geld verdiehnt auf kosten der benutzer. aber warum gibt es da keine strafen, oder ist datenklau keine strafbare handlung. aber zur zeit darf in der brd alles gemacht werden und wird einer erwischt. dann wird das verfahren eingestellt gegen eine geldstrafe, die aus der porto-kasse bezahlt wird.
Quagmyre 11.05.2011
3. Facebook
Zitat von sysopDer Fehler bestand seit 2007, erst jetzt wurde er beseitigt: Werbekunden konnten über Jahre auf die Profile von Facebook-Anwendern zugreifen, Fotos ansehen, Chats mitlesen. Erst nach dem Hinweis einer Sicherheitsfirma wurde die Datenlücke geschlossen. Nutzer sollten trotzdem wachsam sein. http://www.spiegel.de/netzwelt/web/0,1518,761836,00.html
Na, wenn das mal nicht sogar ein Feature von Facebook war. Ich bin froh, dass ich diesen Facebook-Müll nicht nutze.
sabaro4711 11.05.2011
4. Hier könnte Ihr Titel stehen
Lustig finde ich ja diesen Satz: "Der Grund für die ungewollte Offenheit: Versehentlich wurden den Werbetreibenden sogenannte access tokens der Anwender übertragen...." Wer sagt denn, dass dies seitens FB wirklich ungewollt war? Da ja Zuckerberg von allen (natürlich sich selbst ausgenommen) totale Offenheitsbefürwortung erwartet, geh ich mal davon aus, es war keinesfalls ungewollt ;-)
wossie 11.05.2011
5.
Zitat von sysopDer Fehler bestand seit 2007, erst jetzt wurde er beseitigt: Werbekunden konnten über Jahre auf die Profile von Facebook-Anwendern zugreifen, Fotos ansehen, Chats mitlesen. Erst nach dem Hinweis einer Sicherheitsfirma wurde die Datenlücke geschlossen. Nutzer sollten trotzdem wachsam sein. http://www.spiegel.de/netzwelt/web/0,1518,761836,00.html
It's not a bug, it's a feature! Ganz ehrlich, ist nicht genau das das Geschäftmodell von FB (Wenn sie denn überhaupt eines haben)?
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.