Facebook-Lücke gab Nutzerprofile frei

Heute ist ein weiterer guter Tag, um als Facebook-Nutzer mal darüber nachzudeneken, ob man nicht mal das eigene Passwort ändern könnte. Das sollte man natürlich regelmäßig tun, aber aus Gewohnheit machen das wahrscheinlich nur wenige. Spiegel-Online berichtet über eine Datenlücke bei Facebook, worüber Werbekunden seit 2007 auf Profile von Facebook-Nutzern zugreifen konnten und anscheinend sogar (theoretisch) in der Lage waren, Chats mitzulesen. Unklar ist hingegen, ob jemand diese Lücke aufgefallen ist (Die wohl ausnahmsweise mal kein Feature war):

Der Grund für die ungewollte Offenheit: Versehentlich wurden den Werbetreibenden sogenannte access tokens der Anwender übertragen. Dabei handelt es sich quasi um Ersatzschlüssel für den Vollzugriff auf Profildaten der Facebook-Anwender, erklären die Symantec-Experten. Bis April hätten schätzungsweise 100.000 Facebook-Apps durch diesen Fehler Zugang zu solchen access tokens gehabt. Täglich würden rund 20 Millionen Facebook-Apps installiert. Da der Fehler zudem sei der Einführung von Facebook-Apps im Jahr 2007 besteht, ist der potentielle Schaden gewaltig – zumindest theoretisch. Die Symantec-Sicherheitsexperten Nishant Doshi und Candid Wueest bezweifeln allerdings dass überhaupt ein Schaden entstanden ist. Ihr Argument: „Glücklicherweise haben die Drittanbieter ihre Möglichkeit, auf diese Informationen zuzugreifen, wahrscheinlich gar nicht erkannt“.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

12 Ergänzungen

  1. Aber warum ist das jetzt ein Grund das Passwort zu wechseln? Und warum soll ein Passwortwechsel eigentlich mehr Sicherheit bringen? Verschiedene Passwörter benutzen, klar ist logisch, aber dauerndes Passwortwechseln bei nichtkompromittierung macht doch keinen Sinn.

    1. @Bauer28: Es ist unklar, ob jemand diese Sicherheitslücke vor Symantec gefunden und ausgenutzt hat. Wer auf Nummer sicher gehen will, wechselt sein Passwort.

    2. naja, eigentlich ja schon,
      sagen wir jemand versucht durch Brute Force dein Passwort zu „erraten“
      dafür wird er einiges an Zeit investieren müssen.
      dein Passwort ist „TTTT“ und er rattert langsam durch und ist bei „SSSS“ angekommen, wenn du dann zufällig mal dein Passwort änderst zu „KKKK“ hat er dich in der ersten runde schonmal verpasst…

      1. Davon ausgehend, dass es eine Reihenfolge bei Passwörtern gibt.

        Jedes Passwort kann beim ersten Versuch oder beim zwei Millionsten geknackt werden. Der Vorteil des Passwortwechsels ist eben, dass jedes schon ausgeschlossene Passwort wieder im Lostopf liegen müsste (ein endloser Prozess außer man errät das richtige Passwort).
        Es ist aber auch möglich, dass ich genau auf das Passwort ändere das als nächstes ausprobiert wird.

        Gibt es Statistiken über Brute Force Angriffe und welche Passwörter ausprobiert werden, bzw. in welcher Reihenfolge?

        Wichtig wird ein Passwortwechsel, wenn der Angreifer Passwörter eingrenzen kann. Sei es über Informationen bezüglich des Benutzers oder weil er vielleicht Hinweise bezüglich der Technik hat (Hash, Salt o.ä.)

  2. Betrifft in Deutschland weit, weit mehr Leute als die direkte Befragung beim Zensus. Aber die große Wut bleibt aus. Der Deutsche zeigt mitunter eine südeuropäische Gelassenheit.

    1. Ich bezweifle, dass Facebook 8 Millionen verschiedene Nutzer in Deutschland hat. Zu recht sollte es eine größere Empörung geben, aber durch den niedrigen Stellenwert von Netznachrichten und der nicht niedrigen Verständnis-schwelle der Nachricht ist es auch schwer die Bedeutung einzuschätzen.

      Beim Zensus allerdings ist der normale Einzelne weit mehr betroffen, als bei dem Verlust der jetzigen Facebook Informationen, da deren Informationen nicht direkt maschinenlesbar überprüfbar und verlässlich sind. Eine Regierung, die so viele Informationen besitzt und zusammen trägt und das ohne Anonymisierung aber dafür Zwangsgeldern halte ich für einen höherschwelligen Eingriff.

  3. Also unsere Entwicklungsabteilung wußte das, wir haben das nur nicht ausgenutzt. Warum sollen da andere nicht drauf kommen, da sitzen oft Entwickler dran, die einen anderen Blick auf die Rechtevergabe haben.

  4. Jetzt mal ans Eingemachte. Wie sieht es denn aus mit den Klagen gegen das Unternehmen? Egal, ob jemand die Lücke ab 2007 genutzt hat oder nicht, sie war vorhanden. Ich meine daher nicht Schadensersatzklagen, sondern Strafanzeige wegen des Vorganges an sich. Ich weiß, die USA haben andere Gesetze, aber eines weiß ich ebenfalls: Auch dort hat ein Unternehmen für Datensicherheit zu sorgen.

    Ebenfalls Sony.

    Ist es hier die Regel, daß die Unternehmen sagen: Ups, sorry und das wars????? Die können froh sein, daß ich nicht betroffen bin. Irgendwann ist nämlich Ende im Gelände.

    Peer

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.