Symantec: Facebook-Apps geben Nutzerdaten an Dritte weiter

Symantec hat herausgefunden, dass Facebook-Anwendungen möglicherweise über einen Zeitraum von mehreren Jahren unerlaubt Zugang zu Konten von Mitgliedern des Social Network hatten und darin gespeicherte Informationen, Bilder und Chat-Nachrichten auslesen konnten. Dies war aufgrund eines Fehlers auch dann möglich, wenn Nutzer den Zugriff auf ihre Daten gesperrt hatten.

Dem Bericht zufolge wussten die Entwickler der Apps möglicherweise gar nicht, dass sie Zugang zu diesen Daten hatten. Das Problem gehe auf sogenannte Access Tokens zurück, so der Sicherheitsanbieter. Sie genehmigen im Namen eines Nutzers bestimmte Aktionen. Diese wiederum werden durch die Anwendungen bestimmt und müssen vom Nutzer abgesegnet werden.

Obwohl diese Tokens normalerweise nach kurzer Zeit ungültig werden, ermöglichen es einige, dass Anwendungen zeitlich unbegrenzt Daten auslesen können – selbst während der Nutzer nicht bei Facebook angemeldet ist. Diese Tokens verlieren laut Symantec erst dann ihre Gültigkeit, wenn der Anwender sein Passwort ändert.

Facebook hat inzwischen bestätigt, dass es von Symantec über den Fehler informiert worden sei. Man habe das Loch gestopft, so dass es nicht mehr ausgenutzt werden könne.

Uneinigkeit herrscht zwischen den beiden Firmen über die Folgen des Datenlecks: Symantec geht davon aus, dass die Access Tokens über eine URL an Anwendungsentwickler weitergegeben wurden, die diese wiederum unwissend an Werbefirmen und andere Außenstehende übermittelten. Facebook weist diese Anschuldigungen zurück und behauptet, Symantecs Untersuchung sei fehlerhaft. Eine eingehende Prüfung habe gezeigt, dass es keine Anhaltspunkte dafür gebe, dass persönliche Informationen von Facebook-Mitgliedern an Dritte gesendet wurden.

Schon Ende vergangenen Jahres war Facebook wegen der Weitergabe von Nutzerdaten in die Kritik geraten. Damals hatten mindestens 25 Drittunternehmen Zugriff auf Nutzernamen und in einigen Fällen auch auf die Namen von Freunden der Mitglieder.