Facebook: Sicherheitslücke gibt Daten von Seiten-Administratoren preis

Facebook verschickt die Daten versehentlich in Einladungen an Personen, die nicht mit dem Administrator befreundet sind. Sie finden sich im Header der per E-Mail verschickten Einladung. Facebook schließt die Lücke und zahlt dem Forscher eine Prämie von 2500 Dollar.

Der Sicherheitsforscher Mohamed Baset hat eine Schwachstelle entdeckt, die vertrauliche Daten von Facebook-Nutzern preisgibt. Betroffen sind allerdings nur Administratoren von Facebook-Seiten. Ihre Daten gibt das Social Network versehentlich über E-Mail-Benachrichtigungen an Nutzer weiter, die nicht mit dem Administrator befreundet sind.

Facebook (Bild: Facebook)Der Fehler, den Facebook inzwischen beseitigt hat, tritt auf, wenn ein Nutzer einen Beitrag einer Facebook-Seite mit „Gefällt mir“ markiert, aber nicht der Seite folgt. In dem Fall kann der Seitenadministrator den Nutzer einladen, nicht nur dem Beitrag, sondern auch der Seite durch ein „Gefällt mir“ zu folgen.

Die per E-Mail verschickte Einladung erweckte die Aufmerksamkeit des Forschers. Innerhalb weniger Minuten fand er im Header der Nachricht nicht nur den Namen der fraglichen Seite, sondern auch den Namen des zugehörigen Administrators sowie weitere persönliche Details. Seiner Bug-Timeline zufolge vergingen zwischen dem Erhalt der E-Mail und dem Versand des Fehlerberichts an Facebook gerade mal drei Minuten.

Facebook hat versehentlich persönliche Details von Seitenadmins in den Header von Benachrichtigungs-E-Mails eingebaut (Screenshot: Mohamed Baset).Facebook hat versehentlich persönliche Details von Seitenadmins in den Header von Benachrichtigungs-E-Mails eingebaut (Screenshot: Mohamed Baset).

„Wir waren in der Lage nachzuvollziehen, dass Seiteneinladungen, die an nicht Freunde verschickt werden, unter Umständen versehentlich den Namen des Seitenadmins enthalten, der die Einladung verschickt hat. Wir haben das zugrundeliegende Problem gelöst und künftige E-Mails werden diese Informationen nicht enthalten“, heißt es in Facebooks Antwort an Baset.

Dem Forscher zahlte Facebook zudem eine Belohnung von 2500 Dollar. Ihm zufolge war es bereits das zweite Mal, dass er einen Fehler in Facebook entdeckte, ohne auch nur eine einzige Zeile Code schreiben zu müssen.

HIGHLIGHT

Report: Entwicklung der Cloud-Nutzung

McAfee befragte im Rahmen der jährlichen Forschungsstudie zur Cloud-Sicherheit und der Migration zur Cloud mehr als 1.400 IT-Experten. Dieser Bericht zeigt den Stand der Dinge bei Cloud-Sicherheit auf und bietet praktische Hinweise. Jetzt herunterladen!

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Sind Sie ein Facebook-Experte? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Facebook, Privacy, Security, Sicherheit, Soziale Netze

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Facebook: Sicherheitslücke gibt Daten von Seiten-Administratoren preis

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *