Facebook-Sicherheitslücke hätte private Informationen preisgeben können – mal wieder

Facebooks Jahr war bisher alles andere als glorreich – zumindest wenn man es von der Sicherheitsperspektive aus betrachtet. Cambridge Analytica, 30 Millionen von einem Hack betroffene Accounts und diverse andere Probleme plagten das Soziale Netzwerk und seine Nutzer.

Wer dachte, dass damit jetzt erst mal Schluss ist, der irrt. Ein Sicherheitsforscher von Imperva fand im Mai einen Fehler, der es Hackern erlaubt hätte auf private Informationen von Facebook-Nutzern und ihren Freunden zuzugreifen.

Nutzerinformationen fast auf dem Tablett serviert

Es scheint ganz simpel: Ron Masas von Imperva fand heraus, dass die Resultate von Facebooks Onlinesuche ein iFrame-Element im HTML enthielten, dass wohl nicht ganz so gut abgesichert war. Es erlaubte dem Forscher auszulesen, ob eine Frage mit ja oder nein beantwortet wurde. Indem man nun alle möglichen Abfragen startet, kann man an ziemlich viele Informationen gelangen.

Natürlich sind nicht alle Daten öffentlich zugänglich – aber auch hier ist schnell Abhilfe geschaffen. Dazu muss nur eine bösartige Webseite samt JavaScript erstellt werden, auf die das Opfer geleitet wird. Ein Klick genügt und schon könnten potentielle Angreifer so viele Suchanfragen starten wie sie sollen, um an die privaten Daten zu gelangen.

Die Antwort muss „ja“ oder „nein“ lauten

Die Suchanfragen selbst durften allerdings nicht allzu kompliziert sein. Laut Masas würden nur Abfragen funktionieren, die mit „ja“ oder „nein“ beantwortet werden können, also in etwa etwas wie „Mag der Nutzer die Page XYZ“.

Werfen Sie am besten einen Blick auf das Video um zu sehen, wie einfach die Daten hier ausgelesen werden.

Bitte aktivieren Sie Personalisierungs-Cookies, um sich dieses Video anzusehen.

Besonders interessante Nutzerinformationen die Masas auslesen konnte waren übrigens:

Problem gelöst, Gefahr gebannt

Das Problem selbst ist mittlerweile gelöst, Facebook-Nutzer müssen sich also eigentlich keine Gedanken machen. Wem die ganzen Sicherheitslücken dennoch zu viel sind und deswegen lieber raus aus den sozialen Netzwerken möchte, der findet hier eine einfache Anleitung dazu.

Dieser Artikel ist auch verfügbar in: Englisch

PR & Social Media Manager @ Avira |Gamer. Geek. Tech addict.