piwik no script img

Sicherheitslücken bei FacebookKommse rein, könnse pfuschen

Mit so genannten "Apps" hübschen sich Nutzer des sozialen Netzwerks ihr Profil auf. Eine dieser Anwendungen hatte nun so große Lücken, dass Facebook sie abschalten ließ.

Auch bei Profilen gilt: Vorsicht, wer da reinkommt. Bild: dpa

Facebook will eine Art soziales Betriebssystem für das Internet werden: Nutzer sollen sich untereinander vernetzen und austauschen können, aber auch eigene Anwendungen innerhalb des Netzwerkes ausführen. Mit diesen populären "Apps", die von zahlreichen Drittherstellern stammen, kann man seine Profilseite verschönern, neue Funktionen hinzufügen und auf Wunsch Flagge für bestimmte Firmen zeigen - mit wenigen Klicks lässt sich all das installieren.

"Top Friends", eine Anwendung des US-Anbieters Slide, wies nun eine derart schwere Sicherheitslücke auf, dass sich Facebook am Donnerstag entschloss, sie abzuschalten. Die drittpopulärste "App" auf der Seite verschwand von einem Moment auf den anderen. Der Grund: Jeder Nutzer, der die Software installiert hatte, erhielt mit einem Trick Zugriff auf die Daten anderer "Top Friends"-Nutzer, selbst wenn die diese auf "privat" gestellt hatten.

Byron Ng, ein kanadischer Sicherheitsforscher, entdeckte das Problem und demonstrierte die Lücke plastisch: Er zeigte gegenüber dem IT-Nachrichtendienst "News.com", wie sich Geburtsdatum, Beziehungsstatus und andere private Daten von Paris Hilton und anderen Promis darstellen ließ, die Facebook auf teils versteckte Art verwenden. Laut Slide handelt es sich einen "Logikfehler", den ein "professioneller Hacker" ausgenutzt habe. Man arbeite zusammen mit Facebook daran, das Problem zu beheben und "Top Friends" wieder online zu stellen.

Es ist nicht das erste Mal, dass Anwendungen bei Facebook Probleme bereiten. Im Mai zeigte ein TV-Magazin der britischen "BBC", wie sich mit Hilfe einer eigens geschriebenen Software Profildaten stehlen ließen - das Spionprogramm maskierte sich dabei als einfaches Spielchen, wie es sie bei Facebook zu Hunderten gibt.

Zwar müssen Programmierer solcher "Apps" sich an die von Facebook vorgegebenen Regeln halten und dürfen solche Dinge wie das Absaugen von Daten natürlich offiziell nicht tun. Doch es hapert an der Kontrolle. Hinzu kommt, dass einmal zugelassene Anwendungen auf den Servern Dritter arbeiten, Facebook also im laufenden Betrieb nur schwerlich kontrollieren kann, was genau passiert.

"Die Eintrittsbarrieren, um ein Facebook-Programmierer zu werden, sind ziemlich niedrig. Man braucht nur einen Facebook-Zugang und muss ein paar Online-Formulare ausfüllen", sagte Ng gegenüber "News.com". Wer eine "App" installiert, muss zudem wissen, dass dafür möglicherweise die Datenschutzbedingungen ihres Programmierers gelten - und nicht etwa die von Facebook, bemängeln Kritiker. Der Nutzer sei oft auf sich allein gestellt, neige dazu, "zu schnell zu klicken".

Neben "Top Friends" hatte kürzlich auch die ebenfalls sehr populäre Anwendung "Super Wall" des Anbieters RockYou eine Sicherheitslücke. Damals war es möglich, Botschaften auf Nachrichtenbrettern auch bei Personen zu lesen, die dies nur für ihren inneren Freundeskreis zugelassen hatten. Selbst die "Super Wall" von Facebook-Gründer Mark Zuckerberg, eigentlich für Externe gesperrt, war so sichtbar, ebenso die von anderen Mitgliedern des Top-Managements.

Facebook ist beileibe nicht das einzige soziale Netzwerk, das mit Sicherheitsproblemen kämpft. Auch der Konkurrent MySpace wird regelmäßig von böswilligen Hackern und Spammern angegriffen - das führte inzwischen so weit, dass Hyperlinks, die von dem Teeny-Angebot wegführen, mit einer Zwischenseite versehen sind, um Nutzer vor Phishing-Attacken und anderem Online-Betrug zu schützen. Auch gab es vor einigen Monaten eine Software, mit der das Absaugen privater Bilder aus MySpace möglich war; Tausende Fotos landeten damals im Netz.

Durch die Öffnung vieler Web 2.0-Anwendungen für Dritte holen diese sich regelmäßig frische Angriffsflächen ins Haus, sagen Sicherheitsexperten. Was einerseits gut sei - die Möglichkeit, Nutzerinformationen frei zwischen einzelnen Plattformen zu teilen -, könne so zum Datenschutzalbtraum werden. Diese Projekte laufen stets unter dem Motto "Datenportabilität". Doch damit war niemals der Transport von Informationen an Personen gemeint, die eigentlich keinen Zugriff auf private Daten haben sollten.

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

0 Kommentare

  • Noch keine Kommentare vorhanden.
    Starten Sie jetzt eine spannende Diskussion!