Wer auf Facebook in seinem Account eine Anwendung zulässt, übergibt einen so genannten Token an die Anwendung. Das ist sozusagen ein Ersatzschlüssel, über den die Anwendung bestimmte Informationen aus dem Account gewinnt. Unter bestimmten Umständen jedoch bleiben diese Token gültig und können auch an andere weitergeleitet werden.
Das Sicherheitsunternehmen Symantec hat den Fehler jetzt veröffentlicht, nachdem Facebook über dieses Datenleck informiert worden war. “Facebook hat uns jetzt mitgeteilt, dass sie diesen Fehler behoben haben, um zu verhindern, dass diese Tokens in falsche Hände gelangen”, so Nischant Doshi von Symantec in einem Blog.
“Wir schätzen, dass mit April 2011 rund 100.000 Applikationen diesen Datenverlust ermöglicht haben. Wir vermuten, dass über die Jahre mehrere Hunderttausend Anwendungen unbeabsichtigt Access-Tokens an Dritte weitergegeben haben”, so Doshi weiter. Unklar ist, wie viele Nutzer von diesem Problem betroffen sind.
Ein Facebook-Sprecher erklärte, dass das Unternehmen bislang keine Beweise habe, dass private Informationen von Nutzern mit nicht autorisierten Gruppen geteilt wurden und dass vertragliche Bestimmungen die Gewinnung und Nutzung von Account-Daten reglementieren.
Über diese Tokens kann eine Anwendung sozusagen im Namen des Nutzers bestimmte Aktionen durchführen und kann auch auf das Profil des Nutzers zugreifen. Normalerweise sind diese Tokens nur sehr kurze Zeit gültig. Aber die Anwendung kann auch Tokens für den Offline-Access nachfragen. Dann gelten die Tokens so lange, bis der Nutzer das Passwort ändert. Durch diese Offline-Tokens jedoch kann die betreffende Anwendung auch dann auf die Nutzerdaten zugreifen, wenn der Nutzer gar nicht eingeloggt ist.
Zu dem Fehler kam es, wenn der Entwickler einer Anwendung statt des neuen OAuth 2.0 Data-Sharing-Protocol eine ältere Version der Facebook-API verwendete. Über bestimmte Parameter im Code konnten diese Tokens dann über eine URL an den Application-Host geschickt werden. Von dem Host aus konnte der Token dann an Werbetreibenden und an analytische Plattformen wie iFrame weitergeleitet werden.
“Wir haben leider keine Möglichkeit, einzuschätzen, wie viele Access-Tokens inzwischen seit der Einführung der Facebook-Apps im Jahr 2007 geleakt sind”, erklärte Doshi in seinem Blog. “Wir fürchten aber, dass nach wie vor viele dieser Tokens in Log-Files auf den Servern von Dritten verfügbar sind und noch immer von den Werbetreibenden genutzt werden.” Eine gute Möglichkeit sei es, das Facebook-Passwort zu ändern, so dass kein Zugriff über die Token mehr möglich ist.
Facebook will jetzt die Sicherheit des Authentifizierungsprozesses weiter verbessern und auch die Zugriffe für Anwendungen seien inzwischen beschränkt worden, so das Unternehmen in einem Entwickler-Blog.
Der Sicherheitsspezialist Joey Tyson erklärte ebenfalls in einem Blog, dass das Problem nicht so umfassend ist, wie es vielleicht zunächst den Anschein habe. “Der Fehler wurde sicherlich nicht so häufig ausgenutzt, wie vielleicht manche Menschen fürchten.”
Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…
Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.