Überraschend kommt es ja nicht. Facebook war nie bekannt für Datenschutz.
Wer bei Facebook registriert ist, sollte jetzt schnellstmöglich sein Passwort ändern.
Hier die ARD-Meldung:
Eine gravierende Sicherheitslücke beim Online-Netzwerk Facebook hat den Zugriff Unbefugter auf Nutzerprofile möglich gemacht. Unter anderem sei es Werbekunden der Plattform seit dem Jahr 2007 möglich gewesen, persönliche Angaben, Fotos und Chatverläufe einzusehen, schrieb die US-Sicherheitsfirma Symantec in einem Unternehmensblog. Auch habe für Unbefugte die Möglichkeit bestanden, im Namen angemeldeter Nutzer E-Mails und persönliche Nachrichten zu verschicken. Betroffen von der Sicherheitslücke sind laut Symantec potenziell alle Facebook-Nutzer, die sogenannte Apps nutzen.
Die Techniker von Symantec informierten nach eigener Aussage Facebook über ihre Entdeckung. Das Online-Netzwerk schloss das Sicherheitsleck nach eigenen Angaben mittlerweile. In einer Stellungnahme bestätigte Facebook das Problem, bemängelte aber "Ungenauigkeiten" im Symantec-Bericht. Schließlich werde Missbrauch in den Vertragsbedingungen der Plattform untersagt. "Der Bericht ignoriert die vertraglichen Verpflichtungen von Werbepartnern und Entwicklern, die ihnen untersagen, Nutzerdaten in einer Art und Weise zu erhalten oder zu veröffentlichten, die unsere Vorgaben verletzt", erklärte Facebook.
Keine Hinweise auf Datenmissbrauch
Blick auf die Facebook-Webseite (Foto: dpa) Großansicht des Bildes Facebook beseitigte die Sicherheitslücke nach eigenen Angaben inzwischen. Zudem betonte das Unternehmen, dass bei einer internen Untersuchung kein Datenmissbrauch festgestellt worden sei. Es habe keine Hinweise darauf gegeben, dass private Informationen von unbefugten Dritten genutzt worden seien. Auch Symantec stellte klar, dass keine Hinweise für einen Missbrauch der Sicherheitslücke durch die Werbekunden vorlägen. "Vielleicht haben sie nicht bemerkt, dass sie überhaupt die Möglichkeit hatten, auf Informationen ihrer Nutzer zuzugreifen", schrieb die Sicherheitsfirma.
Das Sicherheitsproblem versteckte sich im Software-Code von Facebook. Über die Schnittstelle für externe Zusatzprogramme, sogenannte Apps, konnten Dritte laut der Symantec-Erläuterung Zugriff auf Daten der Nutzer bekommen. Facebook-Nutzer installieren dem Unternehmen zufolge täglich 20 Millionen Apps. Ende April waren Symantec zufolge etwa 100.000 verschiedene Apps betroffen.
Apps gaben Zugriffsmöglichkeiten weiter
Wer eine App nutzt, muss dieser im Allgemeinen bestimmte Rechte einräumen. Dadurch kann die Applikation beispielsweise Einträge im Namen des Nutzers veröffentlichen. Teilweise gehen die Berechtigungen soweit, dass die Anwendungen Zugriff auf Fotos, Nachrichten und Chats der Nutzer verlangen. Um auf die Daten zugreifen zu können, erhalten die Apps sogenannte Tokens - eine Art Ersatzschlüssel für das jeweilige Nutzerprofil. Um von dem Problem betroffen zu sein, mussten also Nutzer erst einmal Apps Zugriffsberechtigungen erteilen.
Viele Anwendungen haben die Tokens aber - nach Darstellung von Symantec unbewusst - an Werbepartner weitergegeben. Diese hätten damit teilweise vollen Zugriff auf die Nutzerprofile erhalten. Eine Passwort-Änderung reicht nach Angaben von Symantec aus, um den Zugang zu entziehen. Das komme dem Auswechseln des Schlosses an einer Tür gleich.
Facebook hat zwar bereits ein sichereres Anmelde-Verfahren eingeführt, bei dem der Datenabfluss nicht mehr auftritt - allerdings wird das alte System noch unterstützt, damit alle Apps weiterhin funktionieren können. Das Online-Netzwerk kündigte nun an, dass zum 1. September alle Software-Entwickler auf das neue Anmeldeverfahren umstellen müssen. Facebook erklärte, die im Symantec-Bericht genannten Programmierschnittstellen API seien entfernt worden.
Die Techniker von Symantec informierten nach eigener Aussage Facebook über ihre Entdeckung. Das Online-Netzwerk schloss das Sicherheitsleck nach eigenen Angaben mittlerweile. In einer Stellungnahme bestätigte Facebook das Problem, bemängelte aber "Ungenauigkeiten" im Symantec-Bericht. Schließlich werde Missbrauch in den Vertragsbedingungen der Plattform untersagt. "Der Bericht ignoriert die vertraglichen Verpflichtungen von Werbepartnern und Entwicklern, die ihnen untersagen, Nutzerdaten in einer Art und Weise zu erhalten oder zu veröffentlichten, die unsere Vorgaben verletzt", erklärte Facebook.
Keine Hinweise auf Datenmissbrauch
Blick auf die Facebook-Webseite (Foto: dpa) Großansicht des Bildes Facebook beseitigte die Sicherheitslücke nach eigenen Angaben inzwischen. Zudem betonte das Unternehmen, dass bei einer internen Untersuchung kein Datenmissbrauch festgestellt worden sei. Es habe keine Hinweise darauf gegeben, dass private Informationen von unbefugten Dritten genutzt worden seien. Auch Symantec stellte klar, dass keine Hinweise für einen Missbrauch der Sicherheitslücke durch die Werbekunden vorlägen. "Vielleicht haben sie nicht bemerkt, dass sie überhaupt die Möglichkeit hatten, auf Informationen ihrer Nutzer zuzugreifen", schrieb die Sicherheitsfirma.
Das Sicherheitsproblem versteckte sich im Software-Code von Facebook. Über die Schnittstelle für externe Zusatzprogramme, sogenannte Apps, konnten Dritte laut der Symantec-Erläuterung Zugriff auf Daten der Nutzer bekommen. Facebook-Nutzer installieren dem Unternehmen zufolge täglich 20 Millionen Apps. Ende April waren Symantec zufolge etwa 100.000 verschiedene Apps betroffen.
Apps gaben Zugriffsmöglichkeiten weiter
Wer eine App nutzt, muss dieser im Allgemeinen bestimmte Rechte einräumen. Dadurch kann die Applikation beispielsweise Einträge im Namen des Nutzers veröffentlichen. Teilweise gehen die Berechtigungen soweit, dass die Anwendungen Zugriff auf Fotos, Nachrichten und Chats der Nutzer verlangen. Um auf die Daten zugreifen zu können, erhalten die Apps sogenannte Tokens - eine Art Ersatzschlüssel für das jeweilige Nutzerprofil. Um von dem Problem betroffen zu sein, mussten also Nutzer erst einmal Apps Zugriffsberechtigungen erteilen.
Viele Anwendungen haben die Tokens aber - nach Darstellung von Symantec unbewusst - an Werbepartner weitergegeben. Diese hätten damit teilweise vollen Zugriff auf die Nutzerprofile erhalten. Eine Passwort-Änderung reicht nach Angaben von Symantec aus, um den Zugang zu entziehen. Das komme dem Auswechseln des Schlosses an einer Tür gleich.
Facebook hat zwar bereits ein sichereres Anmelde-Verfahren eingeführt, bei dem der Datenabfluss nicht mehr auftritt - allerdings wird das alte System noch unterstützt, damit alle Apps weiterhin funktionieren können. Das Online-Netzwerk kündigte nun an, dass zum 1. September alle Software-Entwickler auf das neue Anmeldeverfahren umstellen müssen. Facebook erklärte, die im Symantec-Bericht genannten Programmierschnittstellen API seien entfernt worden.
Wo wir sind, da ist immer auch Ägypten.
~☤~
Dieser Beitrag wurde bereits 3 mal editiert, zuletzt von Illuminatus ()