Facebook hat am Wochenende eine Sicherheitslücke „vorübergehend“ beseitigt, die mehr als eine Million Konten kompromittierte. Sie war von Hacker News erst am Freitag gemeldet worden.
Das Problem waren Links zu Konten in von Facebook verschickten Mails: Wer darauf klickte, wechselte nicht nur auf eine Facebook-Seite, sondern war auch ohne weitere Interaktion wie Eingabe eines Passworts im verbundenen Konto eingeloggt. Die Mails ließen sich per Google-Suche leicht aufspüren; sie enthielten insgesamt Links auf rund 1,3 Millionen Nutzerkonten.
Durch die Mails ließen sich außerdem auch die mit den Konten verbundenen E-Mail-Adressen einsehen. Inzwischen hat Google die einschlägigen Seiten aus seinem Suchindex entfernt.
Die Links waren nur einmalig nutzbar. Sobald ein Anwender darauf klickte, kam ein zweiter Klick zu keinem Ergebnis. Facebook-Entwickler Matt Jones erklärte das Prinzip gegenüber Hacker News: „Wir schicken diese Mails nur an die Konteninhaber und machen sie nie öffentlich. Trotzdem richten wir Sicherheitsmaßnahmen ein, um zu verhindern, dass ein Fremder den Link anklicken kann.“ Jemand müsse sie online gestellt haben, sonst wären sie nicht in Google zu finden gewesen. Facebooks Sicherheitssystem nehme jedenfalls zusätzliche Überprüfungen vor, um sicherzustellen, dass es sich wirklich um den Konteninhaber handle.
Inzwischen müssten die meisten Links längst ungültig sein, weil sie nur kurze Zeit aktiv seien, sagt Jones. „Trotzdem haben wir aufgrund der Veröffentlichung diese Funktion einstweilen offline genommen. Zusätzlich sichern wir alle Konten von Nutzern ab, die diese Funktion in letzter Zeit in Anspruch genommen haben.“
[mit Material von Zack Whittaker, News.com]
Tipp: Wie gut kennen Sie Soziale Netzwerke? Testen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…
Das jüngste Update bringt insgesamt zwölf Fixes. Schadcode lässt sich unter Umständen ohne Interaktion mit…
Eine softwarebasierte Workstation soll es Ingenieuren erlauben, sämtliche Steuerungen zentral zu verwalten. Pilotkunde ist Ford.
Kryptodiebstahl und finanzieller Gewinn sind laut ESET-Forschungsbericht die vorrangigen neuen Ziele.