Sicherheitslücke

Nutzerdaten bei Facebook lagen offen

Thomas Cloer war viele Jahre lang verantwortlich für die Nachrichten auf computerwoche.de.
Er sorgt außerdem ziemlich rund um die Uhr bei Twitter dafür, dass niemand Weltbewegendes verpasst, treibt sich auch sonst im Social Web herum (auch wieder bei Facebook) und bloggt auf teezeh.de. Apple-affin, bei Smartphones polymorph-pervers.
Experten von Symantec haben eine Sicherheitslücke bei Facebook entdeckt, über die speziell Werbetreibende theoretisch auf die Daten von Nutzern zugreifen konnten.

Der Symantec-Experte Nishant Doshi beschreibt das bereits behobene Problem in einem Blogpost. In bestimmten Fällen gaben demnach Facebook-Anwendungen, die in einem IFRAME abliefen, sogenannte Access Tokens an Dritte wie Werbetreibende oder Analytik-Plattformen weiter. Doshi vergleicht diese Tokens bildlich mit "Ersatzschlüsseln" für jeweils bestimmte Funktionen bei Facebook wie Lesen der Pinnwand, Zugriff auf das Profil eines Facebook-Freunds, Schreiben an die Pinnwand undsoweiter.

Facebook verwendet zwar seit geraumer Zeit standardmäßig die moderne Authentifizierungsmethode OAUTH 2.0, ältere Verfahren werden aber weiterhin unterstützt und auch von vielen Facebook-Apps noch verwendet.

Symantec hatte Facebook Mitte April über die Schwachstelle informiert, das Soziale Netzwerk hat seitdem Vorkehrungen getroffen, damit keine Access Tokens mehr versehentlich weitergereicht werden können, und ruft auch seine Entwickler dazu auf, ihre Apps auf OAUTH und HTTPS-Verbindungen umzustellen. Ein tatsächlicher Missbrauch ist bislang nicht nachgewiesen.