 |
# taz.de -- Datenleck bei Facebook: Das Hintertürchen-App |
|
|
|
> Die Sicherheitsforscher von Symantec haben ein schweres Sicherheitsleck |
|
> beim weltgrößten sozialen Netzwerk entdeckt. Es erlaubte über Jahre |
|
> theoretisch Zugriff auf Profile. |
|
|
 |
Bild: Facebook hat zum ersten Mal Nutzerdaten weitergegeben. |
|
|
|
Es gibt Bugs, kleine Fehler, die schnell behoben sind und dann gibt es |
|
sicherheitstechnische Datenlecks großen Ausmaßes. Solch ein Leck hatte das |
|
IT-Security-Unternehmen Symantec bei Facebook gefunden. Über Jahre war es |
|
zumindest theoretisch möglich, Zugriff auf Millionen von Profilen zu |
|
erhalten. |
|
|
|
Das Problem dabei waren die sogenannte Access-Token, kleine Textschnipsel, |
|
über die man eine Art Nachschlüssel für ein Facebook-Profil erhält. Ein |
|
Passwort muss dann nicht mehr eingegeben werden, um verschiedene Aktionen |
|
auszuführen, die eigentlich nur der Benutzer darf. |
|
|
|
Betroffen waren laut Symantec-Schätzungen User von rund 100.000 Apps, |
|
Anwendungen, die von Drittanbietern stammen und bei Facebook laufen. Diese |
|
Apps, vom Spiel über den Infodienst bis zum Videowerkzeug, benötigen vom |
|
User bei der Installation Genehmigungen. Sind diese erteilt, darf eine App |
|
etwa auf die eigene Pinnwand schreiben, die Freundesliste einsehen, andere |
|
User im Nachrichtenstrom informieren oder sogar Zugriff auf Fotos und Chats |
|
haben. |
|
|
|
## Werbekunden hatten Zugriff aufs eigene Konto |
|
|
|
Doch diese Genehmigungen für die Apps wurden verbotenerweise an Dritte |
|
weitergeleitet. Grund war ein Programmierfehler bei Facebook: Die |
|
Access-Token wurden in Internet-Adressen gepackt, die dann weitergeleitet |
|
wurden als Referrer. Diese Referrer mit den Nachschlüsseln tauchten erstens |
|
in den Logdateien der App-Entwickler auf und wurden zweitens aber |
|
möglicherweise auch an deren Werbekunden weitergereicht. Wer also eine |
|
betroffene App installierte, erlaubte den Werbekunden eben jener App |
|
möglicherweise signifikanten Zugriff auf sein Konto. |
|
|
|
Doch die Facebook-Nutzer hatten Glück im Unglück. Die mindestens seit 2007 |
|
bestehende Lücke in der Datensicherheit war laut Symantec nicht weitläufig |
|
bekannt. Somit landeten zwar zahllose Nachschlüssen bei Werbekunden von |
|
App-Entwicklern, doch diese bekamen das schlicht nicht mit. Allerdings sind |
|
die Access-Token eine dauerhafte Angelegenheit: Nur das Ändern des eigenen |
|
Facebook-Passworts machte die Nachschlüssel zunichte, was Symantec |
|
furchtsamen Usern nun auch empfiehlt. |
|
|
|
Facebook zufolge wurden keine Hinweise darauf gefunden, dass die Lücke auch |
|
ausgenutzt wurde - was aber nichts heißen muss. Immerhin hat Facebook das |
|
Problem laut eigenen Angaben mittlerweile behoben und will künftig sowieso |
|
auf eine sichere Methode zur Authentifizierung von Apps setzen. |
|
|
|
## Nutzerdaten "aus Versehen" weitergegeben |
|
|
|
Es ist im übrigen nicht das erste Mal, dass Facebook über ein solches |
|
Problem gestolpert ist. Schon einmal wurden Nutzerdaten "aus Versehen" an |
|
Werbekunden übertragen. Damals handelte es sich allerdings "nur" um |
|
Nutzer-Identifikationsnummern, was Werbetreibenden allerdings potenziell |
|
die Namen von Facebook-Kunden bescheren konnte. Laut einem Bericht des Wall |
|
Street Journal waren davon auch populäre Facebook-Apps wie "Farmville" oder |
|
"Texas Holdem" betroffen, auch dieser Bug ist mittlerweile behoben. |
|
|
|
Facebook versuchte am Mittwoch, die von Symantec aufgedeckte Lücke |
|
kleinzureden. Man habe "eine intensive Untersuchung" eingeleitet. Zudem sei |
|
es App-Entwicklern schließlich verboten, Nutzerinformationen und |
|
Nutzerzugänge an Dritte weiterzuleiten. Dass die davon erst gar nichts |
|
mitbekamen, scheint da nicht sonderlich zu stören. |
|
|
|
Ben Edelman, Internet-Forscher an der Harvard Business School, sagte |
|
gegenüber dem Wall Street Journal, an solchen und ähnlichen Problemen sei |
|
Facebooks komplexes Ökosystem schuld. Daten könnten hin und her fließen. |
|
"Aber niemand hat Facebook gebeten, ein solches System zu entwickeln." |
|
|
|
Das Thema Apps und Sicherheit gilt in der IT-Security-Szene sowieso als |
|
besonders heiß: Facebook untersucht im Gegensatz zu anderen Firmen wie |
|
Apple eingereichte Anwendungen nur stichprobenartig. Da eine "böse" App |
|
sich Zugriff auf sensible Daten verschaffen könnte, wird dieses Vorgehen |
|
regelmäßig kritisiert. |
|
|
|
Für Facebook ist das eigene Ökosystem allerdings ein wichtiges Pfund: Es |
|
dient dem Ziel, dass die Nutzer auf längere Sicht immer mehr Tätigkeiten |
|
direkt bei Facebook machen, anstatt etwa andere Kommunikationskanäle oder |
|
Betriebssystem wie Windows zu nutzen. |
|
|
|
12 May 2011 |
|
|
|
## AUTOREN |
|
|
 |
Ben Schwan |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Zynga startet Empires & Allies: Farmville-Nachfolger auf Facebook |
|
|
|
Inmitten der Gerüchte über einen bevorstehenden Börsengang hat der |
|
Spiele-Hersteller Zynga mit Empires & Allies eine Strategie- und |
|
Aufbausimulation gestartet. |
|
|
|
Bürgermeisterkandidat per Facebook: Such, Netzwerk, such! |
|
|
|
Einem winzigen Kreisverband der Grünen im Land Brandenburg fehlte der |
|
Kandidat für eine Bürgermeisterwahl. Gefunden wurde er mit Hilfe einer |
|
Facebook-Gruppe. |
|
|
|
Studie zur Nachrichten-Nutzung im Netz: Facebook-Share statt Google-Rank |
|
|
|
Das Online-Netzwerk Facebook führt seine Leser auch zu Texten im Netz. Für |
|
Medienunternehmen wird Facebook deswegen immer wichtiger. |
