Sicherheitslücke seit Jahren ignoriert
Daten-GAU: Facebook gibt Werbekunden Zugriff auf Nutzer-Profile
Sicherheitsexperten von Symantec haben ein enormes Sicherheitsleck bei Facebook ausgemacht. Werbekunden des Sozialen Netzwerkes haben weitgehenden Zugriff auf private Profilinformationen wie Fotos und Chats und können diese teils sogar manipulieren.
Gerade noch versuchen Datenschutzexperten das wahre Ausmaß des Angriffs auf Sonys Onlinedienste und ihre Kunden zu ermitteln, da steht schon die nächste internationale Daten-Super-GAU vor der Tür: Wie der Security-Anbieter Symantec herausgefunden hat, erlaubt eine Sicherheitslücke im Social Network Dritten unbefugten den Zugriff auf Profile und darin gelagerte Daten wie Fotos, Posts und Chats. Selbst Manipulationen sind demnach möglich, so dass die ungeplanten Eindringlinge theoretisch sogar Nachrichten im Namen der Profileigentümer verschicken können.
Das Hintertürchen, über das der Zugriff auf Mitgliederprofile erlaubt, versteckt sich laut Symantec in den beliebten Mini-Anwendungen, wie etwa Spielen, die in Facebook integriert werden können. Deren Urhebern, Facebooks Werbekunden, wurden – laut Facebook aus Versehen - so genannte »access tokens« übermittelt, die ihnen als eine Art Zweitschlüssel Vollzugriff auf Profildaten der Facebook-Anwender gewähren. Besonders schlimm: das Problem existiert offenbar bereits seit 2007, so dass inzwischen eine kaum mehr zu kontrollierende Zahl an access tokens im Umlauf sein dürfte.
Symantec geht davon aus, dass im April rund 100.000 Facebook-Apps aktiv waren, die auf diesem Wege an unberechtigten Zugang zu Profilen gelangt sind. Nachdem täglich rund 20 Millionen Facebook-Apps von Nutzern installiert werden, ergibt sich daraus in den letzten fünf Jahren theoretisch ein enormes Schadpotential, von dem rechnerisch fast jeder Nutzer betroffen ist. Allerdings zieht sich Facebook auf die Aussage zurück, dass bisher kein Fall bekannt sei, in dem ein Werbekunde diese Möglichkeit tatsächlich ausgenutzt habe – wahrscheinlich sei diesen gar nicht bewusst gewesen, dass die Sicherhietslücke überhaupt existiert. Außerdem sei es den Werbekunden auch vertraglich verboten, solche Informationen abzugreifen oder zu nutzen. Jetzt arbeiten beide Unternehmen gemeinsam an einer Lösung.
Facebook-Anwendern die auf Nummer Sicher gehen wollen, ist auf jeden Fall zu empfehlen, Ihr Passwort zu ändern. Laut den Symantec-Experten verhindert dies den zugriff mittels bereits verteilter access tokens.
Lesen Sie mehr zum Thema
