Facebook schließt schwere Sicherheitslücke

Ausgerechnet über eine Lücke in den Sicherheitseinstellungen konnten Nutzer mit einem einfachen Trick laufende Chat-Sessions ihrer Freunde mitlesen und deren Kontaktanfragen bearbeiten. Facebook hat die Lücke inzwischen geschlossen.

In Pocket speichern vorlesen Druckansicht 67 Kommentare lesen
Lesezeit: 2 Min.

Das soziale Netzwerk Facebook sorgt mit einer schweren Sicherheitslücke für Schlagzeilen. Mit einem einfachen Trick konnten Nutzer die Chats ihrer Kontakte live mitverfolgen und Kontaktanfragen oder den Benachrichtigungsstatus einsehen, berichtet das Blog TechCrunch. Die in einem Video demonstrierte Lücke wurde offenbar kurzfristig gestopft, derzeit ist Facebooks Chatfunktion unter Hinweis auf "Wartungsarbeiten" deaktiviert.

Ausgerechnet die gerade erst erweiterten Funktionen zum Schutz der Privatsphäre der Nutzer boten dabei das Einfallstor für möglichen Missbrauch. In den Einstellungen zur Privatsphäre gibt es eine Vorschau auf das eigene Profil so wie es eigene Kontakte unter den gemachten Vorgaben sehen können. Lässt man sich sein eigenes Profil so aus Sicht eines eigenen Kontaktes simulieren, hatte man hier über die Chat-Funktion Zugriff auf möglicherweise gerade laufende Chat-Sessions des betreffenden Kontaktes.

heise online war es noch bis vor Kurzem möglich, den Fehler zumindest teilweise nachzuvollziehen. Zwar war der Zugang zu Chat und Kontaktanfragen schon vor Schnüffelei geschützt, doch erlaubte Facebook noch Einblick in die Statusleiste des betreffenden Kontaktes mit der Anzahl der Kontaktanfragen, Mails und Benachrichtigungen. Inzwischen hat Facebook die Lücke offenbar komplett geschlossen. "Für kurze Zeit" habe ein Softwarefehler Chats und Kontaktanfragen für eigene Kontakte sichtbar gemacht, räumt das für seinen Datenhunger oft kritisierte Unternehmen in einer Stellungnahme ein. Daraufhin sei der Chat vorübergehend deaktiviert und das Problem behoben worden. Die Chat-Funktion soll bald wieder zur Verfügung stehen.

Wie lange das Problem schon bestand ist unbekannt. Bleibt zu hoffen, dass der Vorfall Facebooks Umgang mit Sicherheitsproblemen dazu führt, wieder verstärkt in die Qualitätssicherung zu investieren, statt in die Verfolgung von Angreifern. Vor kurzem betonte Facebooks Sicherheitschef Max Kelly nämlich noch öffentlich, man wolle lieber Angreifer jagen, statt Lücken zu schließen.

Siehe dazu auch:

(vbr)