
fand im Mai einen Fehler, der es Hackern erlaubt hätte auf private Informationen von Facebook-Nutzern und ihren Freunden zuzugreifen.
Es scheint ganz simpel: Ron Masas von Imperva fand heraus, dass die Resultate von Facebooks Onlinesuche ein iFrame-Element im HTML enthielten, dass wohl nicht ganz so gut abgesichert war. Es erlaubte dem Forscher auszulesen, ob eine Frage mit ja oder nein beantwortet wurde. Indem man nun alle möglichen Abfragen startet, kann man an ziemlich viele Informationen gelangen.
Natürlich sind nicht alle Daten öffentlich zugänglich – aber auch hier ist schnell Abhilfe geschaffen. Dazu muss nur eine bösartige Webseite samt JavaScript erstellt werden, auf die das Opfer geleitet wird. Ein Klick genügt und schon könnten potentielle Angreifer so viele Suchanfragen starten wie sie sollen, um an die privaten Daten zu gelangen.
Die Suchanfragen selbst durften allerdings nicht allzu kompliziert sein. Laut Masas würden nur Abfragen funktionieren, die mit „ja“ oder „nein“ beantwortet werden können, also in etwa etwas wie „Mag der Nutzer die Page XYZ“.
Werfen Sie am besten einen Blick auf das Video um zu sehen, wie einfach die Daten hier ausgelesen werden.
Besonders interessante Nutzerinformationen die Masas auslesen konnte waren übrigens:
Das Problem selbst ist mittlerweile gelöst, Facebook-Nutzer müssen sich also eigentlich keine Gedanken machen. Wem die ganzen Sicherheitslücken dennoch zu viel sind und deswegen lieber raus aus den sozialen Netzwerken möchte, der findet hier eine einfache Anleitung dazu.