Datenleck bei Facebook

Jahrelang gab es bei Facebook ein Sicherheitsleck und keiner hat’s gemerkt? Die amerikanische Sicherheitsfirma Symantec wies darauf hin, dass Unbefugte Einsicht in die Daten der Mitglieder gehabt hätten – „hätten“, denn wie es scheint, ist dies tatsächlich niemandem aufgefallen.

Verschiedene der beliebten Facebook-Anwendungen wie Spiele, Tests und Umfragen, die meist von externen Anbietern erstellt werden, ermöglichen Zugriff auf die persönlichen Nutzerprofile, auf Chats und Fotos. Viele dieser Apps verlangen vom Nutzer bestimmte Berechtigungen, z.B. an die Pinnwand des Nutzers posten zu dürfen. Erteilte der Nutzer solch eine Berechtigung, war es Dritten möglich, sie auszulesen und damit die gleichen Rechte zu erhalten wie die Anwendung. So wäre es möglich gewesen, z.B. Chats mitzulesen, Fotos anzuschauen oder sogar im Namen des Nutzers Statusmeldungen zu verfassen.

Wie so etwas passieren kann? Mit Hilfe von sogenannten Access Tokens bekommen Anwendungen von Drittanbietern Zugriff auf die für die Anwendung erforderlichen Nutzerdaten bzw. die vom Nutzer eingeräumten Berechtigungen. Theoretisch sollten diese Access Tokens nach kurzer Zeit ihre Gültigkeit verlieren. Doch praktisch konnte man mit einigen dauerhaft Daten auslesen.

Die Sicherheitsexperten von Symantec sind sich jedoch sicher, dass mit dieser Möglichkeit, an Nutzerdaten zu gelangen kein Missbrauch getrieben wurde. Vermutlich war diese Sicherheitslücke unbemerkt geblieben. Facebook hat umgehend reagiert und das Problem behoben. Nutzern wird dennoch empfohlen, ihr Passwort zu ändern.