Hacker haben offenbar eine Möglichkeit gefunden, per Facebook Login Daten von Nutzern des Social Network zu stehlen. Eine entsprechende Untersuchung von Sicherheitsforschern hat das Unternehmen auf Nachfrage von TechCrunch bestätigt. Demnach nutzen die Datendiebe auf JavaScript basierende Tracker von Drittanbietern, die sie in Websites einbetten, die Facebook Login unterstützen.
Unklar ist offenbar, was die Hintermänner mit den Daten machen. Die Anbieter der Tracker, darunter Tealium, AudienceStream, Lytics und ProPS bieten auf Basis solcher Daten Dienste zur Monetisierung von Inhalte an.
Entdeckt wurden die schädlichen Skripte von Forschern von Freedom To Tinker des Center for Information Technology Policy an der Princeton University. Sie fanden sich demnach in 434 der am häufigsten Besuchten Websites weltweit. Unter anderem sind die Freelancer-Seite Fiverr.com, die Seite des Cloud-Datenbank-Anbieters MongoDB und auch das Musikportal BandsInTown betroffen.
MongoDB teilte inzwischen mit, man habe das Skript entfernt und auch dessen Quelle identifiziert. Von der Existenz des Skripts habe man indes nichts gewusst. Auch BandsInTown beteuert in einer Stellungnahme, dass es keine Daten unerlaubt an Dritte weitergebe. Zudem sei die mögliche Schwachstelle in einem Skript geschlossen worden.
Steven Englehardt von Freedom To Tinker weist darauf hin, dass es nicht ausreichend ist, der Website zu vertrauen, die Facebook Login anbietet. „Wenn ein Nutzer einer Seite den Zugriff sein Social-Media-Profil gewährt, vertraut er nicht nur der Seite, sondern auch allen Dritten, die auf der Seite eingebettet sind.“
Facebook wirft der Forscher vor, nicht genug getan zu haben, um diese Exploits zu finden. Laut TechCrunch verbessert Facebook derzeit die Kontrollen seiner Programmierschnittstellen – vor allem als Reaktion auf den Datenskandal um Cambridge Analytica und die Daten-App des Forschers Aleksandr Kogan.
Facebook bietet seinen Anmeldedienst Login nicht nur für Webseiten an, sondern auch für iOS und Android. Das Unternehmen verspricht Entwicklern, dass sich deren Nutzer „sicher, schnell und einfach“ anmelden können. Ob die Änderungen, die Facebook im Zusammenhang mit der Datenschutzgrundverordnung angekündigt hat, das Datenleck schließen, ist nicht bekannt.
Tipp: Sind Sie ein Facebook-Experte? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
