Facebook schließt Schnüffel-Lücke

Facebook hat eine von Wissenschaftlern gemeldete Sicherheitslücke nach eigenen Angaben binnen 48 Stunden geschlossen. Damit ließ sich das Profil Fremder ausspionieren. Die Forscher vom Londoner University College hatten dazu den Fehler ausgenutzt, dass erstens Anwender ihre Konten nach Belieben deaktivieren und reaktivieren können und zweitens die Privatsphäre-Einstellungen eines deaktivierten Kontos unveränderbar sind. So ließen sich deaktivierte Nutzer nicht „entfreunden“.

Facebook schreibt: „Vergangene Woche haben Sicherheitsforscher eine theoretische Lücke in unserer Oberfläche gefunden; es war Nutzern unmöglich, deaktivierte Konten zu entfreunden. Wir haben daran schnell gearbeitet und durch eine Änderung der Oberfläche innerhalb von 48 Stunden nach Erhalt des Berichts behoben.“ Konkret ist es nun schlicht möglich, deaktivierte Nutzer zu entfreunden.

Gleichzeitig äußert Facebook Kritik: Es habe von der Lücke aus einer Zeitschrift erfahren. Eine direkte, private Meldung wäre ihm lieber gewesen. Das University College London habe die Richtlinien nicht eingehalten und somit gegen Facebooks Nutzungsbedingungen verstoßen. „Wir wollen die Security Community dazu anhalten, unser Programm „White Hat“ zu nutzen, das Forschern Werkzeuge und spezielle Kommunikationswege eröffnet.“

Auch für Anwender hat das Unternehmen einen Tipp parat: „Wie immer halten wir die Leute an, sich nur mit Personen zu verbinden, die sie tatsächlich kennen. Bitte melden Sie außerdem verdächtiges Verhalten auf unserer Site.“

[mit Material von Emil Protalinski, ZDNet.com]