Facebook hat zwei Sicherheitslücken in seinem Fotodienst Instagram geschlossen. Angreifer hätten sie theoretisch ausnutzen können, um die Konten von rund einer Million Nutzer zu kompromittieren. Entdecker der Schwachstellen ist der belgische Sicherheitsforscher Arne Swinnen, der im Rahmen von Facebooks Bug-Bounty-Programm dafür 5000 Dollar Prämie erhalten hat.
Dabei fiel Swinnen auf, dass die Seite zum einen keine Authentifizierungsprotokolle nutzte und zum anderen ihre Webadresse die für jeden Nutzer einzigartige Instagram-ID enthielt. Zwar stellt dies nicht zwingend ein Problem dar, doch Swinnen konnte durch den Austausch einiger Ziffern die entsprechenden Einstiegsseiten eines geringen Prozentsatzes anderer Nutzer aufrufen, deren Acoounts ebenfalls vorübergehend gesperrt waren. Im Anschluss gelang es ihm, die damit verknüpften E-Mail-Adressen zu ändern.
„Sobald ein Angreifer die mit einem Instagram-Konto verknüpfte E-Mail-Adresse festlegen kann, ist er in der Lage, das Passwort per E-Mail zurückzusetzen und die vollständige Kontrolle über das Konto zu übernehmen“, schreibt der Sicherheitsforscher in seinem Blog. „Das hat große Auswirkungen auf die Sicherheit, aber es sind nur 0,17 Prozent der Konten betroffen.“
Bei seinen weiteren Nachforschungen stellte Swinnen fest, dass auch mit den anfälligen Konten verknüpfte Telefonnummern geändert werden konnten. Auf diese Weise sei bei 3,88 Prozent der vorübergehend gesperrten Accounts das Zurücksetzen des Passworts per SMS möglich gewesen. Eine kurze manuelle Überprüfung seinerseits ergab zudem, dass eine Reihe von Konten, die kompromittierbar waren, nur für wenige Wochen inaktiv waren und zahlreiche Follower hatten.
Ohne Cloud-Technologie sähe der Alltag heute ganz anders aus. Dropbox, Facebook, Google und Musikdienste gäbe es nicht. Erst Cloud-Technologien haben diese Services ermöglicht und treiben heute Innovationen schneller denn je voran.
Swinnen war es nach eigener Aussage nicht möglich, die Angriffe zur Kontenübernahme zu reproduzieren, weil er sonst die legitimen Konten von Instagram-Nutzern hätte angreifen müssen. Seine Erläuterungen zu der fehlenden Authentifizierung und der Insecure-Direct-Object-Reference-Lücke waren für Facebook aber dennoch ausreichend, um die Schwachstellen zu beseitigen und ihn für seinen Fund zu entlohnen.
Swinnen hatte Facebook am 14. März über die Sicherheitslücken informiert. Binnen 24 Stunden waren sie geschlossen, indem auf Seiten zur Änderung von Profilinformationen wie E-Mail-Adresse oder Telefonnummer nun eine Authentifizierung nötig ist. Zehn Tage später, also am 25. März, sprach Facebook Swinnen dann die Prämie von 5000 Dollar zu.
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Sind Sie ein Facebook-Experte? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…
