Netzwerk

Facebook schließt Datenleck - nach vier Jahren

Bei Facebook gab es vier Jahre lang eine gefährliche Sicherheitslücke - jetzt erst wurde sie geschlossen. Dazu aber musste erst ein Sicherheitsunternehmen das weltgrößte soziale Netzwerk auf das Datenleck hinweisen.

Foto: dpa / dpa/DPA

Bei dem sozialen Netzwerk Facebook hat seit rund vier Jahren eine schwere Sicherheitslücke bestanden, die erst jetzt geschlossen wurde. Das IT-Sicherheitsunternehmen Symantec hatte das Datenleck entdeckt. Nach Angaben von Symantec hatten Facebook-Werbekunden seit 2007 Zugriff auf fremde Nutzerprofile und konnten diese - theroretisch - übernehmen. Durch das datenleck war es möglich, Nutzerdaten auszulesen und zu verändern; ebenso konnten so im Namen fremder Nutzer Nachrichten und ähnliches veröffentlicht werden. Betroffen von der Sicherheitslücke sind laut Symantec potenziell alle Facebook-Nutzer, die sogenannte Apps nutzen.

Apps sind kleine Programme, die es in großer Zahl gibt und die sich seit 2007 in das soziale Netzwerk und die eigene Facebook-Seite integrieren lassen: Spiele, Umfragen, Horoskope und ähnliches. Facebook-Nutzer installieren jeden Tag 20 Millionen Apps. Laut Schätzungen von Symantec hatten im April rund 100.000 Facebook-Applikationen ein solches Datenleck - seit 2007, so die Sicherheitsexperten, waren es wohl Hunderttausende

Wer eine App nutzt, muss dieser im Allgemeinen bestimmte Rechte einräumen. Dadurch kann die Anwendung Einträge im Namen des Nutzers veröffentlichen oder die Liste von dessen Facebook-Freunden auslesen. Teilweise gehen die Berechtigungen soweit, dass die Anwendungen Zugriff auf Fotos, Nachrichten und Chats der Nutzer verlangen. Um auf die Daten zugreifen zu können, erhalten die Apps sogenannte "Tokens, das sind Buchstaben- und Zahlencodes, die wie eine Art Zweitschlüssel für Facebook-Konten funktionieren.

Um von dem Problem betroffen zu sein, mussten also Nutzer überhaupt erst einmal entsprechende Berechtigungen an Anwendungen erteilen. Viele Anwendungen haben die Tokens aber – nach Darstellung von Symantec versehentlich und nicht gezielt – an Werbepartner weitergegeben. Diese hätten damit also teilweise vollen Zugriff auf die Nutzerprofile erhalten, was sie aber, laut Symantec, "glücklicherweise" nicht bemerkten. Es gebe keine Hinweise auf einen Missbrauch der Sicherheitslücke.

Symantec wies Facebook auf das Problem hin, worauf das soziale Netzwerk die Sicherheitslücke nach eigenen Angaben schloss. Das heißt laut Symantec aber nur, dass keine neuen Tokens weitergegeben werden können, alte Schlüssel hingegen behalten ihre Gültigkeit und öffnen weiter Tür und Tor zu Facebook-Profilen. Facebook-Nutzer, die davon betroffen sein könnten, sollten deshalb ihre Passwörter ändern, riet der Sicherheitsspezialist. Dadurch verlören die alten Tokens ihre Gültigkeit.