Facebook-Lücke Hacker schreibt an Zuckerbergs Pinnwand

Facebook ignoriert die Fehlermeldung eines Sicherheitsforschers. Also demonstriert der Hacker die von ihm entdeckte Lücke und schreibt auf die Pinnwand von Firmenchef Mark Zuckerberg. Facebooks erste Reaktion: Das Konto des Hackers wird gesperrt.
Mark Zuckerbergs Facebook-Konto: "Mein Name ist Khalil, ich komme aus Palästina."

Mark Zuckerbergs Facebook-Konto: "Mein Name ist Khalil, ich komme aus Palästina."

Khalil Shreateh , ein arbeitsloser palästinensischer Programmierer, hatte nach eigenen Angaben  eine Sicherheitslücke bei Facebook entdeckt. Der Fehler ermöglicht es einem Angreifer, an fremder Leute Pinnwand Einträge zu veröffentlichen, auch wenn diese das nicht erlauben. Das dürfte etwa für Phishing-Betrüger eine interessante Information sein. Der ersten Fehlermeldung ging das Facebook-Sicherheitsteam laut Shreateh nur ungenügend nach, auf Nachfrage habe er nur die Antwort erhalten: "Tut mir leid, das ist kein Bug."

Shreateh blieb - sagt er heute - nur ein letzter Schritt: Mark Zuckerberg direkt auf den Fall aufmerksam zu machen. Dazu nutzte er seine Entdeckung aus, um an der Pinnwand des Facebook-Chefs diese Nachricht zu hinterlassen :

"Lieber Mark Zuckerberg, zunächst bitte ich Sie um Entschuldigung, dass ich Ihre Privatsphäre verletzt und an ihre Pinnwand geschrieben habe. Aber ich hatte keine andere Wahl, nachdem ich all die Berichte ans Facebook-Team schickte. Mein Name ist Khalil, ich komme aus Palästina."

Minuten später war Shreatehs Facebook-Konto gesperrt, sagt der Entwickler. Eine "Vorsichtsmaßnahme" sei das, habe ihm Facebooks Sicherheitsteam erklärt.

Im "Hackernews"-Forum  meldete sich wenig später Matt Jones, ein Facebook-Sicherheitsmitarbeiter. Facebook bestätigt auf Anfrage, dass die Stellungnahme echt ist. Jones schreibt, dass die Sicherheitslücke bereits am Donnerstag geschlossen wurde. Man hätte Shreatehs Warnungen ernster nehmen müssen, allerdings habe der wiederum nur ungenügende Informationen eingereicht.

Allerdings habe Shreateh einen gewaltigen Fauxpas begangen, als er seinen gefunden Fehler am Profil fremder Leute ausprobiert habe, ohne diese zu fragen. Das verstoße gegen Facebooks Nutzungsbedingungen. Deshalb könne man ihm auch nicht die Prämie für die Entdeckung auszahlen. Üblicherweise honoriert Facebook erfolgreich gemeldete Fehler.

fko
Die Wiedergabe wurde unterbrochen.