Facebook-Fehler ermöglichte das Löschen beliebiger Fotos

Der Entdecker der Lücke Arul Kumar erhält eine Belohnung von 12.500 Dollar. Der Fehler steckte in Facebooks Support Dashboard. Nutzer können darüber Bilder beanstanden und eine Löschung durch Facebook oder den Inhaber veranlassen.

Facebook hat eine Sicherheitslücke geschlossen, die es Hackern erlaubte, beliebige auf dem Social Network gespeicherte Fotos zu löschen. Dem Entdecker der Schwachstelle, dem indischen Sicherheitsforscher Arul Kumar, zahlte das Unternehmen eine Belohnung von 12.500 Dollar.

Facebook

Einem Eintrag in Kumars Blog zufolge steckte die Lücke in Facebooks Support Dashboard. Den als kritisch eingestuften Fehler konnte Kumar mit beliebigen Browsern reproduzieren. Es sei besonders einfach gewesen, Bilder über Facebooks mobile Website zu löschen.

Das Support Dashboard wird benutzt, um die Löschung von Fotos zu beantragen, die beispielsweise Rechte anderer verletzen. Beschwerden werden normalerweise von Mitarbeitern des Unternehmens geprüft. Alternativ können sie auch direkt an den Inhaber eines Bilds geschickt werden. Bei diesem Verfahren wird ein Link generiert, den der Besitzer anklicken kann, um das fragliche Foto zu entfernen.

Kumar zufolge ließen sich zwei Parameter in dem Link, die das Bild und den Eigentümer eindeutig bestimmen, manipulieren. Als Folge konnten Hacker den Link in ihr Postfach umleiten – und zwar ohne Wissen des eigentlichen Besitzers. Die ID eines Fotos fand Kumar in dessen Facebook-URL. Die ID des Inhabers wiederum ermittelte er mithilfe von Facebook Graph. Zudem benötige ein Hacker zwei Facebook-Konten – eines zum Senden der Löschanfrage und ein anderes für den Empfang des manipulierten Links, schreibt Kumar.

Die Lücke ermöglichte es, ohne jegliche Einschränkungen Bilder von Facebook-Seiten, Gruppen und Nutzerprofilen zu löschen. Es war nicht der erste Fehler, den Kumar an Facebook gemeldet hat. Für einen Anfang des Jahres übermittelten Bug habe er eine Prämie von 1500 Dollar erhalten, heißt es in Kumars Blog.

Einem Sicherheitsforscher, der im August Details zu einem Bug in Mark Zuckerbergs Chronik veröffentlicht hatte, hatte Facebook eine Belohnung verweigert. Daraufhin sammelte die Hacker-Community mehr als 13.000 Dollar für Khalil Shreateh ein.

Facebook-BugDer Sicherheitsforscher Arul Kumar hat eine Schwachstelle entdeckt, die das Löschen beliebiger Fotos auf Facebook erlaubt (Bild: Arul Kumar).

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Sind Sie ein Facebook-Experte? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Facebook, Secure-IT, Soziale Netze

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Facebook-Fehler ermöglichte das Löschen beliebiger Fotos

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *