Spenden

Dieser Artikel ist mehr als 15 Jahre alt.

Facebook-Lücke gab Nutzerprofile frei

Heute ist ein weiterer guter Tag, um als Facebook-Nutzer mal darüber nachzudeneken, ob man nicht mal das eigene Passwort ändern könnte. Das sollte man natürlich regelmäßig tun, aber aus Gewohnheit machen das wahrscheinlich nur wenige. Spiegel-Online berichtet über eine Datenlücke bei Facebook, worüber Werbekunden seit 2007 auf Profile von Facebook-Nutzern zugreifen konnten und anscheinend sogar (theoretisch) in der Lage waren, Chats mitzulesen. Unklar ist hingegen, ob jemand diese Lücke aufgefallen ist (Die wohl ausnahmsweise mal kein Feature war):

Der Grund für die ungewollte Offenheit: Versehentlich wurden den Werbetreibenden sogenannte access tokens der Anwender übertragen. Dabei handelt es sich quasi um Ersatzschlüssel für den Vollzugriff auf Profildaten der Facebook-Anwender, erklären die Symantec-Experten. Bis April hätten schätzungsweise 100.000 Facebook-Apps durch diesen Fehler Zugang zu solchen access tokens gehabt. Täglich würden rund 20 Millionen Facebook-Apps installiert. Da der Fehler zudem sei der Einführung von Facebook-Apps im Jahr 2007 besteht, ist der potentielle Schaden gewaltig – zumindest theoretisch. Die Symantec-Sicherheitsexperten Nishant Doshi und Candid Wueest bezweifeln allerdings dass überhaupt ein Schaden entstanden ist. Ihr Argument: „Glücklicherweise haben die Drittanbieter ihre Möglichkeit, auf diese Informationen zuzugreifen, wahrscheinlich gar nicht erkannt“.

  • Markus Beckedahl
Markus Beckedahl
12

Heute ist ein weiterer guter Tag, um als Facebook-Nutzer mal darüber nachzudeneken, ob man nicht mal das eigene Passwort ändern könnte. Das sollte man natürlich regelmäßig tun, aber aus Gewohnheit machen das wahrscheinlich nur wenige. Spiegel-Online berichtet über eine Datenlücke bei Facebook, worüber Werbekunden seit 2007 auf Profile von Facebook-Nutzern zugreifen konnten und anscheinend sogar (theoretisch) in der Lage waren, Chats mitzulesen. Unklar ist hingegen, ob jemand diese Lücke aufgefallen ist (Die wohl ausnahmsweise mal kein Feature war):

Der Grund für die ungewollte Offenheit: Versehentlich wurden den Werbetreibenden sogenannte access tokens der Anwender übertragen. Dabei handelt es sich quasi um Ersatzschlüssel für den Vollzugriff auf Profildaten der Facebook-Anwender, erklären die Symantec-Experten. Bis April hätten schätzungsweise 100.000 Facebook-Apps durch diesen Fehler Zugang zu solchen access tokens gehabt. Täglich würden rund 20 Millionen Facebook-Apps installiert. Da der Fehler zudem sei der Einführung von Facebook-Apps im Jahr 2007 besteht, ist der potentielle Schaden gewaltig – zumindest theoretisch. Die Symantec-Sicherheitsexperten Nishant Doshi und Candid Wueest bezweifeln allerdings dass überhaupt ein Schaden entstanden ist. Ihr Argument: „Glücklicherweise haben die Drittanbieter ihre Möglichkeit, auf diese Informationen zuzugreifen, wahrscheinlich gar nicht erkannt“.

Über die Autor:innen

  • Markus Beckedahl
    Darja Preuss
    Markus Beckedahl

    Markus Beckedahl hat schon 2003 in der Ur-Form von netzpolitik.org gebloggt und hat zwischen 2004 bis 2022 die Plattform als Chefredakteur entwickelt. Seit 2024 ist er nicht mehr Teil der Redaktion und schreibt einen Newsletter auf digitalpolitik.de. Kontakt: Mail: markus (ett) netzpolitik.org, Presseanfragen: +49-177-7503541 Er ist auch auf Mastodon, Facebook, Twitter und Instagram zu finden.

Veröffentlicht

Kategorie

Schlagwörter

, ,

Weiterlesen

Thema

Datenschutz

Thema

Datenleck

Thema

Datenschutz

Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.

12 Kommentare zu „Facebook-Lücke gab Nutzerprofile frei“

  1. Bauer28

    ,

    Aber warum ist das jetzt ein Grund das Passwort zu wechseln? Und warum soll ein Passwortwechsel eigentlich mehr Sicherheit bringen? Verschiedene Passwörter benutzen, klar ist logisch, aber dauerndes Passwortwechseln bei nichtkompromittierung macht doch keinen Sinn.

    1. markus

      ,

      @Bauer28: Es ist unklar, ob jemand diese Sicherheitslücke vor Symantec gefunden und ausgenutzt hat. Wer auf Nummer sicher gehen will, wechselt sein Passwort.

    2. iwidoch

      ,

      naja, eigentlich ja schon,
      sagen wir jemand versucht durch Brute Force dein Passwort zu „erraten“
      dafür wird er einiges an Zeit investieren müssen.
      dein Passwort ist „TTTT“ und er rattert langsam durch und ist bei „SSSS“ angekommen, wenn du dann zufällig mal dein Passwort änderst zu „KKKK“ hat er dich in der ersten runde schonmal verpasst…

      1. anon

        ,

        Davon ausgehend, dass es eine Reihenfolge bei Passwörtern gibt.

        Jedes Passwort kann beim ersten Versuch oder beim zwei Millionsten geknackt werden. Der Vorteil des Passwortwechsels ist eben, dass jedes schon ausgeschlossene Passwort wieder im Lostopf liegen müsste (ein endloser Prozess außer man errät das richtige Passwort).
        Es ist aber auch möglich, dass ich genau auf das Passwort ändere das als nächstes ausprobiert wird.

        Gibt es Statistiken über Brute Force Angriffe und welche Passwörter ausprobiert werden, bzw. in welcher Reihenfolge?

        Wichtig wird ein Passwortwechsel, wenn der Angreifer Passwörter eingrenzen kann. Sei es über Informationen bezüglich des Benutzers oder weil er vielleicht Hinweise bezüglich der Technik hat (Hash, Salt o.ä.)

  2. FrankN.Stein

    ,

    „versehentlich“… ich lach mich schlapp…

  3. Matthias Schumacher

    ,

    Betrifft in Deutschland weit, weit mehr Leute als die direkte Befragung beim Zensus. Aber die große Wut bleibt aus. Der Deutsche zeigt mitunter eine südeuropäische Gelassenheit.

    1. Sthenes

      ,

      Ich bezweifle, dass Facebook 8 Millionen verschiedene Nutzer in Deutschland hat. Zu recht sollte es eine größere Empörung geben, aber durch den niedrigen Stellenwert von Netznachrichten und der nicht niedrigen Verständnis-schwelle der Nachricht ist es auch schwer die Bedeutung einzuschätzen.

      Beim Zensus allerdings ist der normale Einzelne weit mehr betroffen, als bei dem Verlust der jetzigen Facebook Informationen, da deren Informationen nicht direkt maschinenlesbar überprüfbar und verlässlich sind. Eine Regierung, die so viele Informationen besitzt und zusammen trägt und das ohne Anonymisierung aber dafür Zwangsgeldern halte ich für einen höherschwelligen Eingriff.

  4. Der etwas andere Datenschutz: Das Spiel mit dem digitalen Selbstmord « hirnrausch

    ,

    […] legitim – Lücken im Sicherheitsnetz des sozialen Netzwerks sind es nicht. Zwar ist bisher nicht geklärt, ob der Datendiebstahl in diesem Fall auch tatsächlich stattfand, doch die Antworten von […]

  5. macro

    ,

    Also unsere Entwicklungsabteilung wußte das, wir haben das nur nicht ausgenutzt. Warum sollen da andere nicht drauf kommen, da sitzen oft Entwickler dran, die einen anderen Blick auf die Rechtevergabe haben.

  6. L00PB4CK

    ,

    hat es zufällig etwas damit zu tun?

    http://www.facebook.com/topic.php?uid=68310606562&topic=26194

  7. Peer Jäger

    ,

    Jetzt mal ans Eingemachte. Wie sieht es denn aus mit den Klagen gegen das Unternehmen? Egal, ob jemand die Lücke ab 2007 genutzt hat oder nicht, sie war vorhanden. Ich meine daher nicht Schadensersatzklagen, sondern Strafanzeige wegen des Vorganges an sich. Ich weiß, die USA haben andere Gesetze, aber eines weiß ich ebenfalls: Auch dort hat ein Unternehmen für Datensicherheit zu sorgen.

    Ebenfalls Sony.

    Ist es hier die Regel, daß die Unternehmen sagen: Ups, sorry und das wars????? Die können froh sein, daß ich nicht betroffen bin. Irgendwann ist nämlich Ende im Gelände.

    Peer

  8. WG012: Wer das liest ist tot! | Wikigeeks - Podcast über gesellschaftliche Netzthemen

    ,

    […] Netzpolitik zu Facebook […]

Dieser Artikel ist älter als 15 Jahre, daher sind die Ergänzungen geschlossen.