Datenleck bei Facebook: Das Hintertürchen-App
Die Sicherheitsforscher von Symantec haben ein schweres Sicherheitsleck beim weltgrößten sozialen Netzwerk entdeckt. Es erlaubte über Jahre theoretisch Zugriff auf Profile.
Es gibt Bugs, kleine Fehler, die schnell behoben sind und dann gibt es sicherheitstechnische Datenlecks großen Ausmaßes. Solch ein Leck hatte das IT-Security-Unternehmen Symantec bei Facebook gefunden. Über Jahre war es zumindest theoretisch möglich, Zugriff auf Millionen von Profilen zu erhalten.
Das Problem dabei waren die sogenannte Access-Token, kleine Textschnipsel, über die man eine Art Nachschlüssel für ein Facebook-Profil erhält. Ein Passwort muss dann nicht mehr eingegeben werden, um verschiedene Aktionen auszuführen, die eigentlich nur der Benutzer darf.
Betroffen waren laut Symantec-Schätzungen User von rund 100.000 Apps, Anwendungen, die von Drittanbietern stammen und bei Facebook laufen. Diese Apps, vom Spiel über den Infodienst bis zum Videowerkzeug, benötigen vom User bei der Installation Genehmigungen. Sind diese erteilt, darf eine App etwa auf die eigene Pinnwand schreiben, die Freundesliste einsehen, andere User im Nachrichtenstrom informieren oder sogar Zugriff auf Fotos und Chats haben.
Werbekunden hatten Zugriff aufs eigene Konto
Doch diese Genehmigungen für die Apps wurden verbotenerweise an Dritte weitergeleitet. Grund war ein Programmierfehler bei Facebook: Die Access-Token wurden in Internet-Adressen gepackt, die dann weitergeleitet wurden als Referrer. Diese Referrer mit den Nachschlüsseln tauchten erstens in den Logdateien der App-Entwickler auf und wurden zweitens aber möglicherweise auch an deren Werbekunden weitergereicht. Wer also eine betroffene App installierte, erlaubte den Werbekunden eben jener App möglicherweise signifikanten Zugriff auf sein Konto.
Doch die Facebook-Nutzer hatten Glück im Unglück. Die mindestens seit 2007 bestehende Lücke in der Datensicherheit war laut Symantec nicht weitläufig bekannt. Somit landeten zwar zahllose Nachschlüssen bei Werbekunden von App-Entwicklern, doch diese bekamen das schlicht nicht mit. Allerdings sind die Access-Token eine dauerhafte Angelegenheit: Nur das Ändern des eigenen Facebook-Passworts machte die Nachschlüssel zunichte, was Symantec furchtsamen Usern nun auch empfiehlt.
Facebook zufolge wurden keine Hinweise darauf gefunden, dass die Lücke auch ausgenutzt wurde - was aber nichts heißen muss. Immerhin hat Facebook das Problem laut eigenen Angaben mittlerweile behoben und will künftig sowieso auf eine sichere Methode zur Authentifizierung von Apps setzen.
Nutzerdaten "aus Versehen" weitergegeben
Es ist im übrigen nicht das erste Mal, dass Facebook über ein solches Problem gestolpert ist. Schon einmal wurden Nutzerdaten "aus Versehen" an Werbekunden übertragen. Damals handelte es sich allerdings "nur" um Nutzer-Identifikationsnummern, was Werbetreibenden allerdings potenziell die Namen von Facebook-Kunden bescheren konnte. Laut einem Bericht des Wall Street Journal waren davon auch populäre Facebook-Apps wie "Farmville" oder "Texas Holdem" betroffen, auch dieser Bug ist mittlerweile behoben.
Facebook versuchte am Mittwoch, die von Symantec aufgedeckte Lücke kleinzureden. Man habe "eine intensive Untersuchung" eingeleitet. Zudem sei es App-Entwicklern schließlich verboten, Nutzerinformationen und Nutzerzugänge an Dritte weiterzuleiten. Dass die davon erst gar nichts mitbekamen, scheint da nicht sonderlich zu stören.
Ben Edelman, Internet-Forscher an der Harvard Business School, sagte gegenüber dem Wall Street Journal, an solchen und ähnlichen Problemen sei Facebooks komplexes Ökosystem schuld. Daten könnten hin und her fließen. "Aber niemand hat Facebook gebeten, ein solches System zu entwickeln."
Das Thema Apps und Sicherheit gilt in der IT-Security-Szene sowieso als besonders heiß: Facebook untersucht im Gegensatz zu anderen Firmen wie Apple eingereichte Anwendungen nur stichprobenartig. Da eine "böse" App sich Zugriff auf sensible Daten verschaffen könnte, wird dieses Vorgehen regelmäßig kritisiert.
Für Facebook ist das eigene Ökosystem allerdings ein wichtiges Pfund: Es dient dem Ziel, dass die Nutzer auf längere Sicht immer mehr Tätigkeiten direkt bei Facebook machen, anstatt etwa andere Kommunikationskanäle oder Betriebssystem wie Windows zu nutzen.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
Starten Sie jetzt eine spannende Diskussion!