Facebook zahlt 33.500 Dollar für kritische Sicherheitslücke

Facebook hat einem Sicherheitsforscher, der eine kritische Sicherheitslücke in den Systemen des Social Networks entdeckt hat, eine Belohnung von 33.500 Dollar bezahlt. Es ist der höchste Betrag, den das Unternehmen bisher im Rahmen seines Prämienprogramms ausgeschüttet hat. Die Schwachstelle, die in der Implementierung des Authentifizierungssystems OpenID steckt, hätte Hackern einen Zugriff auf Facebooks Passwort-Datenbank ermöglicht.

OpenID ist eine offene Technologie, die es Nutzern erlaubt, ein Konto bei einem beliebigen Anbieter anzulegen, und die Anmeldedaten auch für den Zugang zu anderen Diensten zu nutzen. Beispielsweise kann ein mit Symantecs Personal Identity Portal erstelltes Konto verwendet werden, um sich beim Blogging-Dienst WordPress einzuloggen.

Um im Fall eines Passwortverlusts die Identität eines Nutzers zu überprüfen, kann ein Unternehmen wie Facebook beim ursprünglichen Provider der Anmeldedaten ein XML-Dokument anfordern, das die Identität bestätigt. Allerdings lässt sich durch eine bekannte XML-Schwachstelle der Uniform Resource Identifier (URI) des Absenders des Dokuments fälschen.

Die Manipulation der URI bedeutete, dass Facebooks Server zur Prüfung der Identität eines OpenID-Nutzers Verbindung zu einem frei wählbaren Netzwerk aufnahmen. Das machte Facebooks Netzwerk anfällig für Denial-of-Service-Angriffe. Hacker erhielten so aber auch Lesezugriff auf das lokale Dateisystem eines Anmeldeservers des Social Network.

Der brasilianische Sicherheitsforscher Reginaldo Silva, der sich nach eigenen Angaben seit 2012 mit Lücken in OpenID befasst, konnte die Schwachstelle ausnutzen, um auf eine Datei zuzugreifen, die eine Liste aller Facebook-Nutzerkonten sowie die Speicherorte ihrer Stammverzeichnisse auf dem Server enthielt. An dem Punkt brach Silva seine Untersuchung ab und informierte Facebook über seine Erkenntnisse.

„Ich wollte keinen falschen Eindruck erwecken und habe entschieden, den Fehler sofort zu melden und um Erlaubnis zu fragen, die Remotecodeausführung weiter zu testen, während bereits an einem Fix gearbeitet wird“, schreibt Silva in seinem Blog. Facebook habe schon innerhalb von dreieinhalb Stunden einen ersten Fix bereitgestellt und den XML-Parser so konfiguriert, dass er keine externen Objekte lade. Die Überprüfung von Facebooks Log-Dateien hätten zudem gezeigt, dass die Sicherheitslücke noch nicht ausgenutzt worden war.

Der von Silva entdeckte Bug hat auch Auswirkungen auf andere Firmen, die OpenID benutzen. Unter anderem waren Drupal, Google und StackOverflow in der Lage, die Sicherheit ihrer Systeme zu verbessern. Aufgrund der hohen Verbreitung von OpenID schließt Silva jedoch nicht aus, dass die Schwachstelle noch nicht von allen OpenID-Anbietern beseitigt worden ist.

[mit Material von Michael Lee, ZDNet.com]

Tipp: Wie gut kennen Sie Soziale Netzwerke? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.