Reihenweise Sicherheitslücken in sozialen Netzen

Weil es in zahlreichen sozialen Netzwerken wie Facebook, Xing und Lokalisten Probleme mit der Sicherheit gibt, wurde jetzt die Site Socialnetworksecurity ins Leben gerufen.

In Pocket speichern vorlesen Druckansicht 48 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Ronald Eikenberg

Auf der neu gegründeten Webseite socialnetworksecurity.org werden Details zu Sicherheitslücken in sozialen Netzwerken wie Facebook, Lokalisten, Friendscout24.de, wer-kennt-wen.de und XING veröffentlicht. Die meisten Schwachstellen könnten Angreifer für Cross-Site-Scripting (XSS) ausnutzen – etwa um bei Jappy.de die Cookies der Kontakte zu stehlen. Bei XING sind die Initiatoren der Seite socialnetworksecurity.org gleich mehrfach fündig geworden. Bei Facebook können Angreifer für Phishing ein Weiterleitungsscript nutzen, um mit einem Facebook-Link eine HTTP-Login-Abfrage zu erzeugen, deren Inhalt sie frei auslesen können. Bislang haben nicht alle Webseitenbetreiber auf die Veröffentlichung reagiert. So konnte heise Security die XSS-Lücke bei Kwick noch am Montagmittag nachvollziehen.

Das Projekt socialnetworksecurity wurde in Leben gerufen, um den Nutzern der sozialen Netze eine Möglichkeit zu geben, sich über klaffende Sicherheitslücken zu informieren und sich vor den damit verbundenen Risiken zu schützen. Auch das Sicherheitsbewusstsein der Netzwerkbetreiber wollen die Initiatoren, die anonym bleiben möchten, durch ihr Projekt schärfen. Einige grundlegende Tipps unterstützen Admins bei der Absicherung ihrer Sites. Frei nach dem Vobild Wikileaks kündigten die Initiatoren an, demnächst auch Informationen über Lücken auf den Seiten schueler.cc und stayfriends.de zu publizieren. Auch die Besucher der Sicherheitswebsite sind aufgefordert, Lücken in sozialen Netzwerken zu melden.

[Update: Die Betreiber von Friendscout24.de, wer-kennt-wen.de und Kwick konnten die Schwachstellen auf ihren Seiten nachvollziehen und haben sie nach der Veröffentlichung zeitnah geschlossen. Xing hat heise Security darüber informiert, dass die beschriebene Sicherheitslücke bereits im Dezember 2010 nach einem Hinweis geschlossen wurde. Auch die Betreiber von socialnetworksecurity.org bestätigen dies; sie wollen die Fehlinformation auf ihrer Seite in Kürze korrigieren.] (rei)