20 Sicherheitslücken in Social Networks

Vorgestern ging socialnetworksecurity.org an den Start. Die Autoren haben dort 20 Sicherheitslücken in verschiedenen Social Network Sites dokumentiert, von denen bisher nur eine als „gefixt“ markiert ist. Unter anderem sind XING, Facebook und Wer-kennt-wen betroffen. Meistens handelt es sich um XSS-Lücken, aber bei Wiealt.de gibt es zum Beispiel auch eine (m. E. noch peinlichere) SQL-Injection-Möglichkeit. Ganz interessant dürften auch die Möglichkeiten zum Passwort-phishing über Einbinden von Access-geschützten Ressourcen sein.

Alle Lücken sind mit einer Erklärung und einem Proof-of-Concept-Request dokumentiert. Die anonymen Betreiber schreiben:

Die Hauptziele dieses Projektes sind, den Benutzern von sozialen Netzwerken aktuell vorhandene Sicherheitsluecken aufzuzeigen und ihnen Tipps mit auf den Weg zu geben, wie sie sich selbst schuetzen koennen – auf der anderen Seite sollen aber auch die Betreiber der sozialen Netzwerke hiermit aufgefordert werden, sich deren Gefahren endlich bewusst zu werden und proaktiv die Gesamtsicherheit ihrer Portale und somit auch die Sicherheit der Benutzerdaten zu steigern.

und rufen dazu auf, weitere Sicherheitslücken einzureichen, um Druck auf die Betreiber sozialer Netzwerke auszuüben:

Jetzt seid ihr an der Reihe proaktiv zu reagieren und euch mit vollem Engagement um die Sicherheit eurer Plattform und somit auch der Benutzerdaten zu kümmern.

Disclaimer: Ich habe keine Accounts bei den betroffenen Netzwerken und konnte die vermeintlichen Lücken daher auch nicht prüfen. Ich möchte auch nicht dazu aufrufen, sie zu missbrauchen – aber falls jemand die Proofs-of-Concept schon kurz getestet hat, freue ich mich über Bestätigung in den Kommentaren, dass die Seite kein Hoax ist.

17 Ergänzungen

  1. Nette Sache, gefaellt mir. Nur „proaktiv“, hat sich da irgendein Neusprechfanatiker zu denen verlaufen?

  2. Das auf socialnetworksecurity.org benannte Problem bei wer-kennt-wen.de haben wir bereits behoben und dies auch dem Anbieter mitgeteilt. Leider wurde die Seite bislang nicht aktualisiert.

    Karin Rothgänger
    (PR von wer-kennt-wen.de)

  3. Die Lücke in facebook, die dort gezeigt wird, funktioniert.
    Es geht wohl nur darum, dass der User getäuscht wird. Die Passwortabfrage kann man schließlich hinter jeden beliebigen Link verstecken. Das Problem bei facebook: wenn der Dioalog erscheint, steht immer noch facebook.com in der Adresszeile. Dadurch könnte einigen (unachtsame/unerfahrene) Usern vorgegaukelt werden, dass es sich weiterhin um eine Seite von facebook handelt. Wenn man hier aber achtsam ist, sollte einem mit dieser Lücke nichts passieren.
    Auf Social Network Security wird zwar gesagt, dass man die Website unter „Kontaktinformationen“ eintragen soll.
    Ich hab sie dort unter „Website“ eingtragen, was nicht funktionierte. Funktionieren tut es in Nachrichten und Statusupdates.
    Die Speicherung der eingegebenen Daten lässt sich beispielsweise mit der RewriteEngine im htaccess-File und PHP lösen, was kein großer Aufwand für den potentiellen Angreifer ist.

    1. Du schreibst:

      „Das Problem bei facebook: wenn der Dioalog erscheint, steht immer noch facebook.com in der Adresszeile.“

      Eben, und hier irren die Autoren, wenn sie meinen, das gäbe es sonst nicht. Das tut es bei Links auf mit .htaccess geschützte Verzeichnisse nämlich *immer*. Der URL der verlinkenden Seite steht so lange in der Adreßzeile, bis man sich richtig authentifiziert oder einen 403 bekommt. Das kann jeder ganz einfach überprüfen, indem er selbst so einen Link auf eine Testseite setzt und dann den Vorgang ganz genau beobachtet.

      Deswegen ist das auch genau gar keine Lücke.

  4. Zur Aussage der Autoren:

    Die identische – inklusive aller angegebenen Parameter des Codes – XSS-Anfälligkeit wurde XING im Dezember gemeldet und bereits damals sofort durch einen Hotfix behoben.

    Wir sind für jeden Hinweis dankbar, der uns bei der Verbesserung von Datenschutz und -sicherheit bei XING hilft. Bislang jedoch waren alle Versuche, mit dem Betreiber der Seite http://www.socialnetworksecurity.org
    in Kontakt zu treten, leider erfolglos.

  5. Seite mittlerweile Offline. Viele (die meisten?) sind längst bekannt Löcher und auch viele wurden schon vor erscheinen der Seite gefixt. (Nein ich bin kein PR-Irgendwas von Irgendwem)

    Meine Meinung: Die Suche nach 15 Minutes Fame. Mehr nicht.

  6. Hallo,

    mal sehen wie sich das Projekt mit der Zeit entwickelt. habe jedenfalls gesehen, dass die jungs inzwischen wie angekündigt Lücken auf Schueler.cc veröffentlicht haben. Auch die Anzahl der social networks ist inzwischen von 16 auf 24 angestiegen. ich finds echt erschreckend dass inzwischen auch einige internationale social networks mit 50 mil und mehr usern mit dabei sind.

    eine übersicht ist hier: http://socialnetworksecurity.org/en/vulnerable-websites.php

    gruesse,

    kj

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.