Facebook: Profile seit Jahren offen zugänglich

Jahrelang sollen Profilinformationen und Chatprotokolle bei Facebook offen zugänglich gewesen sein, wie Sicherheitsspezialist Symantec berichtet. Das habe den Zugriff durch Dritte, insbesondere Werbepartner von Facebook ermöglicht.

Als Problem nennt der Sicherheitsspezialist die "Facebook IFRAME Applications" genannten Anwendungen. Diese hätten über Jahre den Zugang zu Daten im weltgrössten Social-Network eröffnet. Wird einer Drittanwendung der Zugriff auf die persönlichen Facebook-Daten erlaubt, erhält diese einen Zugangsschlüssel, Access-Token genannt, der sich selbst erneuern kann.

Zugangsschlüssel in URL eingefügt

Während des Login-Vorgangs könne es passieren, dass beim Aufruf eines Anwendungs-Servers das Access-Token fälschlicherweise in die URL einfügt wird. Lädt die Anwendung im nächsten Schritt etwa ein Werbebanner oder andere Inhalte nach, sendet sie die URL inklusive Access-Token im Referrer im HTTP-Request mit. Diese Daten landen dann vermutlich in der Log-Datei des Servers des jeweiligen App-Anbieters, wie Heise.de im Detail erklärt.

Symantec rät Facebook-Usern ihr Facebook-Passwort zu ändern. Das sollte den Access-Tokens die Möglichkeit nehmen auf persönliche Daten Zugriff zu nehmen.

Facebook gibt Entwarnung

Nach einer Warnung von Symantec im April dieses Jahres, seien die Mitarbeiter bei Facebook daran, die Lücken zu stopfen. Gemäss einer firmeninternen Untersuchung bei Facebook, sei kein Datenmissbrauch festgestellt worden. Es habe keine Hinweise darauf gegeben, dass private Informationen von unbefugten Dritten genutzt worden seien.

Zudem gebe es für Werbekunden vertragliche Vorgaben, die den Gebrauch solcher Daten verböten, sagte Facebook-Sprecherin Malorie Lucich gegenüber Reuters. Zugleich erklärte Lucich, die im Symantec-Bericht genannten Programmierschnittstellen seien entfernt worden.