Facebook: Sicherheitslücke gibt Daten von Seiten-Administratoren preis

Der Sicherheitsforscher Mohamed Baset hat eine Schwachstelle entdeckt, die vertrauliche Daten von Facebook-Nutzern preisgibt. Betroffen sind allerdings nur Administratoren von Facebook-Seiten. Ihre Daten gibt das Social Network versehentlich über E-Mail-Benachrichtigungen an Nutzer weiter, die nicht mit dem Administrator befreundet sind.

Der Fehler, den Facebook inzwischen beseitigt hat, tritt auf, wenn ein Nutzer einen Beitrag einer Facebook-Seite mit „Gefällt mir“ markiert, aber nicht der Seite folgt. In dem Fall kann der Seitenadministrator den Nutzer einladen, nicht nur dem Beitrag, sondern auch der Seite durch ein „Gefällt mir“ zu folgen.

Die per E-Mail verschickte Einladung erweckte die Aufmerksamkeit des Forschers. Innerhalb weniger Minuten fand er im Header der Nachricht nicht nur den Namen der fraglichen Seite, sondern auch den Namen des zugehörigen Administrators sowie weitere persönliche Details. Seiner Bug-Timeline zufolge vergingen zwischen dem Erhalt der E-Mail und dem Versand des Fehlerberichts an Facebook gerade mal drei Minuten.

Facebook hat versehentlich persönliche Details von Seitenadmins in den Header von Benachrichtigungs-E-Mails eingebaut (Screenshot: Mohamed Baset).

„Wir waren in der Lage nachzuvollziehen, dass Seiteneinladungen, die an nicht Freunde verschickt werden, unter Umständen versehentlich den Namen des Seitenadmins enthalten, der die Einladung verschickt hat. Wir haben das zugrundeliegende Problem gelöst und künftige E-Mails werden diese Informationen nicht enthalten“, heißt es in Facebooks Antwort an Baset.

Dem Forscher zahlte Facebook zudem eine Belohnung von 2500 Dollar. Ihm zufolge war es bereits das zweite Mal, dass er einen Fehler in Facebook entdeckte, ohne auch nur eine einzige Zeile Code schreiben zu müssen.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Sind Sie ein Facebook-Experte? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.