Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Soziales Netzwerk: Facebook stopfte Datenleck erst nach vier Jahren

Von

Der Fehler bestand seit 2007, erst jetzt wurde er beseitigt: Werbekunden konnten über Jahre auf die Profile von Facebook-Anwendern zugreifen, Fotos ansehen, Chats mitlesen. Nach dem Hinweis einer Sicherheitsfirma wurde die Datenlücke geschlossen - Nutzer sollten trotzdem wachsam sein.

Facebook-Nutzer: Sicherheitsfirma Symantec rät zum Wechsel des Passworts Zur Großansicht
DPA

Facebook-Nutzer: Sicherheitsfirma Symantec rät zum Wechsel des Passworts

Software-Experten der Sicherheitsfirma Symantec haben ein Datenleck bei Facebook entdeckt. Betroffen ist die Freigabe bestimmter Datenzugriffe für Facebook-Anwendungen. Laut Symantec hatten Dritte - in erster Linie Facebooks Werbekunden - Zugriff auf Facebook-Profile, Fotos und Chats. Sie hätten sogar Status-Meldungen im Namen der Betroffenen versenden können.

Es ist nicht das erste Mal, dass Facebook von einer derartigen Sicherheitslücke betroffen ist. Ende 2010 hatte es schon einmal ein ähnlich gelagertes Problem gegeben, bei dem einige Facebook-Anwendungen die eindeutigen Profilnummern von Anwendern an Werbefirmen und Adresshändler weiterreichten.

Der Grund für die ungewollte Offenheit: Versehentlich wurden den Werbetreibenden sogenannte access tokens der Anwender übertragen. Dabei handelt es sich quasi um Ersatzschlüssel für den Vollzugriff auf Profildaten der Facebook-Anwender, erklären die Symantec-Experten. Bis April hätten schätzungsweise 100.000 Facebook-Apps durch diesen Fehler Zugang zu solchen access tokens gehabt. Täglich würden rund 20 Millionen Facebook-Apps installiert. Da der Fehler zudem sei der Einführung von Facebook-Apps im Jahr 2007 besteht, ist der potentielle Schaden gewaltig - zumindest theoretisch.

Die Symantec-Sicherheitsexperten Nishant Doshi und Candid Wueest bezweifeln allerdings, dass überhaupt ein Schaden entstanden ist. Ihr Argument: "Glücklicherweise haben die Drittanbieter ihre Möglichkeit, auf diese Informationen zuzugreifen, wahrscheinlich gar nicht erkannt". Bevor sie ihre Entdeckung veröffentlichten, informierten die Symantec-Mitarbeiter das Soziale Netzwerk über die Schwachstelle. Facebook reagierte umgehend, beseitigte das Problem in der Anbindung von Facebook-Apps und informierte Entwickler von Drittanbieter-Apps über die Änderungen.

Es kann nicht sein, was nicht sein darf

In einer Stellungnahme beklagt sich Facebook zudem darüber, der Symantec-Bericht enthalte "einige Ungenauigkeiten". Vor allem habe man "eine genaue Untersuchung durchgeführt, die keine Anhaltspunkte dafür lieferte, dass persönliche Informationen von Unbefugten genutzt wurden". Auch ignoriere der Bericht, "die vertraglichen Verpflichtungen von Werbekunden und Entwicklern". Die untersagen es, "persönliche Informationen von Facebook-Anwendern auf eine Weise zu beschaffen oder zu verbreiten, die den Facebook-Vorgaben widerspricht". Mit anderen Worten: Es ist verboten, also dürfte es nicht passieren.

Symantec urteilt, man könne trotz der Änderungen, die Facebook nun eingeführt hat, noch keine Entwarnung geben. So sei es vollkommen unabschätzbar, wie viele der fraglichen access tokens seit 2007 ausgeliefert worden seien. Viele davon, fürchten die Experten, könnten immer noch im Umlauf sein.

Zur Sicherheit sollte man deshalb umgehend sein Facebook-Passwort ändern, empfehlen Nishant Doshi und Candid Wueest. Das sei ungefähr so, als würde man das Schloss an seiner Haustür auswechseln - wodurch der Ersatzschlüssel unbrauchbar würde.

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 66 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Exebitionismus.com
sir.viver 11.05.2011
Wer BRAUCHT schon Facebook? Dieses Selbstdarstellungsverlangen habe ich nicht, daher brauche ich auch kein Facebook.
2. wer das glaubt,
spon-1303474127979 11.05.2011
daß dies ungewollt ist, der glaubt an den weihnachtsmann und an den osterhasen. da wird mit geld verdiehnt auf kosten der benutzer. aber warum gibt es da keine strafen, oder ist datenklau keine strafbare handlung. aber zur zeit darf in der brd alles gemacht werden und wird einer erwischt. dann wird das verfahren eingestellt gegen eine geldstrafe, die aus der porto-kasse bezahlt wird.
3. Facebook
Quagmyre 11.05.2011
Zitat von sysopDer Fehler bestand seit 2007, erst jetzt wurde er beseitigt: Werbekunden konnten über Jahre auf die Profile von Facebook-Anwendern zugreifen, Fotos ansehen, Chats mitlesen. Erst nach dem Hinweis einer Sicherheitsfirma wurde die Datenlücke geschlossen. Nutzer sollten trotzdem wachsam sein. http://www.spiegel.de/netzwelt/web/0,1518,761836,00.html
Na, wenn das mal nicht sogar ein Feature von Facebook war. Ich bin froh, dass ich diesen Facebook-Müll nicht nutze.
4. Hier könnte Ihr Titel stehen
sabaro4711 11.05.2011
Lustig finde ich ja diesen Satz: "Der Grund für die ungewollte Offenheit: Versehentlich wurden den Werbetreibenden sogenannte access tokens der Anwender übertragen...." Wer sagt denn, dass dies seitens FB wirklich ungewollt war? Da ja Zuckerberg von allen (natürlich sich selbst ausgenommen) totale Offenheitsbefürwortung erwartet, geh ich mal davon aus, es war keinesfalls ungewollt ;-)
5.
wossie 11.05.2011
Zitat von sysopDer Fehler bestand seit 2007, erst jetzt wurde er beseitigt: Werbekunden konnten über Jahre auf die Profile von Facebook-Anwendern zugreifen, Fotos ansehen, Chats mitlesen. Erst nach dem Hinweis einer Sicherheitsfirma wurde die Datenlücke geschlossen. Nutzer sollten trotzdem wachsam sein. http://www.spiegel.de/netzwelt/web/0,1518,761836,00.html
It's not a bug, it's a feature! Ganz ehrlich, ist nicht genau das das Geschäftmodell von FB (Wenn sie denn überhaupt eines haben)?
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



Soziale Netzwerke
Facebook
DPA
Facebook ging Anfang 2004 als soziales Netzwerk für Harvard-Studenten online. Zunächst konnten nur Menschen mit E-Mail-Adressen ausgewählter US-Hochschulen Mitglieder werden, seit 2006 ist die Seite für alle Über-13-Jährigen offen. Nach eigenen Angaben hat Facebook 845 Millionen aktive Mitglieder weltweit (Dezember 2011). Mehr zu Facebook auf der Themenseite.
Google+
Google+ ist der Versuch, den sozialen Funktionen von Facebook und Twitter etwas entgegenzusetzen. Das soziale Netzwerk wurde im Juni 2011 gestartet und hat nach Firmenangaben rund 170 Millionen Nutzer (April 2012). Der Funktionsumfang ist rein aus Nutzersicht vergleichbar mit Facebook, Schnittstellen für externe Entwickler sind allerdings eingeschränkt. Google animiert seine Nutzer, das Netzwerk als zentralen Hub für seine Dienste zu nutzen. Mehr zu Google+ auf der Themenseite.
Twitter
DPA
Der auf kurze Textnachrichten spezilalisierte Dienst Twitter wurde im Juli 2006 gegründet. Populär wurde der Dienst als Verteilnetzwerk für Links, Fotos und Videos. Twitter zählt nach eigenen Angaben mehr als 140 Millionen Nutzer (März 2012). Mehr zu Twitter auf der Themenseite.
Xing
Xing (früher OpenBC) wurde 2003 von Lars Hinrichs gegründet. Nach eigenen Angaben hat Xing über 11,7 Millionen Mitglieder (Stand: Dezember 2011), etwa acht Prozent haben einen kostenpflichtigen Premium Account. Bei Xing geht es vor allem um berufliche Kontaktaufnahme. Mehr zu Xing auf der Themenseite...
StudiVZ
Ehssan Dariani hat die Studenten-Community StudiVZ 2005 gegründet. Zuerst investierten Lukasz Gadowski und Matthias Spiess in StudiVZ, später finanzierten es vor allem die Gebrüder Samwer - bekannt für die Klingeltonfirma Jamba - und der Venture-Capital-Arm des Holtzbrinck-Verlags ("Die Zeit", "Handelsblatt"). Im Januar 2007 übernahm Holtzbrinck StudiVZ. Derzeit haben die Plattformen studiVZ.net, schuelerVZ.net und meinVZ.net nach eigenen Angaben rund 17,4 Millionen Nutzer (Stand: Januar 2011). Mehr zu StudiVZ auf der Themenseite...
Lokalisten
Im Mai 2005 gegründet, hat das Netzwerk Lokalisten nach eigenen Angaben (Stand Juli 2010) inzwischen 3,6 Millionen Nutzer. Mehr zu Lokalisten bei Wikipedia...
Spin.de
Das 1996 in Regensburg gegründete Unternehmen Spin betreibt ein eigenes soziales Netzwerk, aber auch integrierte Unter-Communitys mit regionalem Fokus, die mit Partnern vor Ort (Lokalradios vor allem) betrieben werden. Nach eigenen Angaben (Stand Februar 2011) hat Spin.de eine Million aktive Mitglieder. Mehr zu Spin.de bei Wikipedia...
Wer kennt wen
Wer-kennt-wen wurde von den beiden Studenten Fabian Jager und Patrick Ohler gegründet. Seit Februar 2009 gehört das Netzwerk vollständig RTL Interactiv, die Gründer schieden Ende August 2010 aus. Das Netzwerk hat laut Betreiber über 9,5 Millionen Nutzer (Stand: Januar 2012). Mehr zu Wer-kennt-wen bei Wikipedia...
MySpace
MySpace war 2006 das populärste soziale Netzwerk in den USA. Ein Jahr zuvor war es von Rupert Murdochs News Corporation gekauft worden. Bekannt wurde es durch die Möglichkeit, Musik einzubinden. Künstler und Bands nutzten die Plattform als Marketingplattform. Zeitweise hatte MySpace mehr als 220 Millionen Nutzer, nach Berechnungen von Google rund 30 Millionen Nutzer (Dezember 2011). Mehr zu MySpace auf der Themenseite...

Fotostrecke
Facebook: Die privaten Fotos des Herrn Zuckerberg

Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: