Die 5000-Dollar-Lücke auf Facebook

Ein Sicherheitsforscher meldete eine Sicherheitslücke in einer neuen Funktion des sozialen Netzes und erhielt dafür 5000 US-Dollar. Jetzt plaudert er aus dem Nähkästchen.

In Pocket speichern vorlesen Druckansicht 37 Kommentare lesen
Lesezeit: 1 Min.

Nachdem Facebook eine Sicherheitslücke beseitigt hat, dokumentiert der Entdecker AMol NAik, wo und wie er sie gefunden hat. Dafür, dass er sie vorab vertraulich bei Facebook gemeldet hatte, strich er eine Prämie von 5000 US-Dollar ein. Bei dem Sicherheitsproblem handelt es sich um sogenanntes Cross Site Request Forgery – kurz CSRF. Dabei kann ein Angreifer allein durch Aufruf einer bestimmten URL mit passenden Parametern eine Aktion im Kontext eines angemeldeten Benutzers ausführen.

Konkret konnte AMol NAik anscheinend beispielsweise ohne Zutun des Benutzers eine App in Facebooks neuem Appcenter hinzufügen. Das Opfer musste dazu lediglich eine passend präparierte Web-Seite aufrufen während es bei Facebook angemeldet war. Derartige Lücken wurden bereits öfter für Facebook-Würmer oder massenhaften Versand von Spam-Nachrichten ausgenutzt.

Normalerweise schützen sich Web-Sites vor CSRF-Manipulationen, indem sie für jede gültige Sitzung ein Token erzeugen, das mit jeder gültigen Anfrage mit geschickt werden muss. Ein Skript auf einer anderen Web-Site hat keinen Zugriff auf dieses Token und kann somit keine gültigen Requests erstellen. Dummerweise hat die neue Web-Applikation auf dem Facebook-Server offenbar die Richtigkeit des dafür vorgesehenen Tokens fb_dtsg nicht kontrolliert. Nach der Benachrichtigung hat das Facebook-Security-Team dieses Versäumnis allerdings innehalb eines Tages korrigiert. (ju)