Facebook schließt Sicherheitslücke

Facebook hat eine Schwachstelle in der Funktion "Passwort vergessen" beseitigt, durch die man das Passwort beliebiger Nutzer ändern konnte, wie CNET News berichtet. Einzige Voraussetzung war, dass der Nutzer bei der Registrierung eine Hotmail-Adresse angegeben hat. Entdeckt hat die Lücke der türkische Sicherheitsforscher Serkan Gencel, der sich mit seinem Fund an das Sicherheitsteam von Facebook gewendet hat, ehe er die Medien darüber informierte.

Nach Angaben von CNET hat Facebook das Problem bestätigt und zeitnah geschlossen. Facebook dankt dem Forscher dafür, dass er keine Nutzer in Gefahr gebracht hat und sieht darin ein gutes Beispiel für die verantwortungsvolle Offenlegung (Responsible disclosure) von Sicherheitsproblemen. Der deutschen Facebook-Pressesprecherin Tina Kulow lagen auf Anfrage von heise Security noch keine Informationen über den Fall vor. (rei)