Sicherheitslücke

Facebook: Sicherheitslücke bot jahrelang Zugriff auf Nutzerdaten

Altes Anmeldeverfahren wird erst zum September durch neues abgelöst
Von Björn Brodersen

Pikantes Thema: Sicherheit auf Facebook
Bild: Facebook Böse Zungen behaupten, Facebook selbst sei ein Datenleck. Diese Kritiker des sozialen Netzwerks erhalten jetzt wieder Auftrieb. Wie der Anti-Viren-Spezialist Symantec heute mitteilte, haben in den vergangenen Jahren Werbepartner von Facebook, Software-Entwickler oder Web-Analyse-Dienste Zugriff auf persönliche Daten wie Profilinformationen, Bilder und Chat-Nachrichten gehabt. Auch hätten die Unternehmen theoretisch die Möglichkeit gehabt, Mitteilungen auf den Pinnwänden der Nutzer zu veröffentlichen. Die Zugriffsmöglichkeit erhielten die Werbepartner dadurch, dass ihnen über die Schnittstellen für Facebooks Web-Applikationen sogenannte Access Tokens - eine Art "Ersatzschlüssel" zu den Profilen - zugesandt wurden. Normalerweise muss der Facebook-Nutzer selbst aktiv die Berechtigungen für solche Anwendungen freischalten.

Pikantes Thema: Sicherheit auf Facebook
Bild: Facebook Nach Schätzungen der Sicherheitsfirma könnte im April dieses Jahres diese Zugriffsmöglichkeit auf die Profildaten der Facebook-Nutzer über rund 100 000 Facebook-Anwendungen bestanden haben. Über die Jahre seit Einführung der Web-Applikationen im Jahr 2007 können es hunderttausende Applikationen gewesen sein, die die Access Tokens zu den Nutzerprofilen übermittelten. Allerdings hätten wahrscheinlich die Partnerunternehmen diese Zugriffsmöglichkeit gar nicht entdeckt, schreibt Symantec in der Mitteilung, Belege für einen Missbrauch gebe es bislang nicht. Mit einem unerlaubten Zugriff auf Nutzerdaten von Facebook-Nutzern hätten die Unternehmen gegen die Regeln des Online-Netzwerks verstoßen.

Symantec hatte zuvor Facebook über die bislang unbemerkte Sicherheitslücke informiert, der Netzwerkbetreiber hat inzwischen den Fehler im Software-Code bestätigt und seine Authentifikationsprozesse überarbeitet. Bis das neue Anmeldeverfahren das immer noch unterstützte anfällige ältere System vollständig ablöst, werden noch mehrere Monate vergehen: Erst bis zum 1. September werden alle Entwickler von Facebook-Applikationen auf das neue Anmeldeverfahren umstellen. Nutzern von Facebook wird geraten, das persönliche Passwort zu ihrem Netzwerk-Konto zu ändern.

Facebook räumt mittlerweile seinen mehr als 600 Millionen Nutzern detaillierte Möglichkeiten zur Kontrolle der Zugriffsberechtigungen für andere Nutzer oder Web-Anwendungen ein. Nähere Informationen zu den Sicherheitsrisiken für Nutzer des Online-Netzwerks sowie Tipps zum Schutz der persönlichen Daten liefern wir in einem kürzlich veröffentlichten Ratgeberartikel zur Facebook-Sicherheit. Symantec gibt Facebook-Nutzern vier allgemeine Tipps zum Schutz vor Cyber-Kriminalität mit auf den Weg:

  • Starke Kennwörter mit einer Kombination aus Zahlen und Buchstaben sowie Groß- und Kleinschreibung verwenden
  • Niemals persönliche Daten wie Postanschrift, Geburtsdatum oder Kreditkartennummern über sich oder über Familienmitglieder weitergeben, die den Nutzer auffindbar oder zur Zielscheibe von Verbrechern machen könnten
  • Seine Freunde sorgsam auswählen und akzeptieren
  • Vorsicht bei Sensationsmeldungen auf Pinnwänden von Freunden: Viele Links, die besonders Unglaubliches versprechen, sind Spam und verbreiten sich beim Anklicken unbemerkt weiter

Weitere Artikel zum Thema soziale Netzwerke