Facebook: Unbefugte konnten eure Fotos löschen

(Bild: Shutterstock)

Ein Fehler in Facebook ermöglichte es bis vor Kurzem, dass Unbefugte ohne eure Erlaubnis von euch veröffentlichte Fotos oder gar ganze Alben löschen konnten. Die Sicherheitslücke in Facebook hat der Sicherheitsforscher Laxman Muthiyah gefunden. Sie wurde von Facebook inzwischen aber schon geschlossen.

Wie er in seinem Blog schreibt, konnte jedes Foto-Album eines Nutzers, einer Seite oder einer Gruppe von einem Facebook-Entwickler gelöscht werden – also im Grunde von jedem, deir sein Konto mit einer Kreditkarte oder Handynummer verifiziert hat.  Der Fehler steckte in Facebooks Graph-API. Diese Programmierschnittstelle gibt Entwicklern Zugriff auf Facebooks Daten.

Die Graph-API soll es eigentlich nur dem Eigentümer erlauben, Fotos oder Alben zu entfernen. Mithilfe manipulierter Zugangs-Token war es auf einem Mobilgerät aber möglich, sich als Eigentümer von Bilder auszugeben, und dadurch Lese- und Schreibrechte für fremde Fotos zu erhalten.

Facebook selbst hat den Bug innerhalb von nur 2 Stunden nach der Meldung des Forschers behoben, was dafür spricht, dass ihn das Social Network als sehr kritisch eingestuft hat. Den Sicherheitsexperten belohnte es mit 12.500 Dollar – eine der höchsten Prämien, die Facebook für Hinweise zu Sicherheitslücken vorsieht.

Das Sicherheitsunternehmen Sophos spekuliert in seinem Blog Naked Security, dass Facebook wahrscheinlich eine der größten Foto-Datenbanken besitzt, die je zusammengestellt wurde. Es beruft sich dabei auf eine Angabe des Social Networks aus dem Jahr 2013, wonach Nutzer täglich 350 Millionen Fotos auf Facebook hochladen. “Der von ihm entdeckte Fehler ist eine Waffe. Sie hätte niemanden getötet, sie hätte aber Millionen Menschen Leid zufügen können”, heißt es in dem Blogeintrag.

Ein Facebook-Sprecher bestätigte den Bug gegenüber Sophos. Ihm zufolge erlaubt der Fehler aber nur das Löschen öffentlicher Fotos beziehungsweise von Bildern, auf die der Angreifer auch regulär öffnen konnte. Es sei nicht möglich gewesen, damit die Datenschutzeinstellungen zu umgehen und auch als privat eingestufte Fotos zu sehen oder gar zu manipulieren.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Tags :Quellen:ZDNet.de

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising