Facebook behebt Lücke in Passwortschutz

Facebook hat am Wochenende eine Sicherheitslücke „vorübergehend“ beseitigt, die mehr als eine Million Konten kompromittierte. Sie war von Hacker News erst am Freitag gemeldet worden.

Das Problem waren Links zu Konten in von Facebook verschickten Mails: Wer darauf klickte, wechselte nicht nur auf eine Facebook-Seite, sondern war auch ohne weitere Interaktion wie Eingabe eines Passworts im verbundenen Konto eingeloggt. Die Mails ließen sich per Google-Suche leicht aufspüren; sie enthielten insgesamt Links auf rund 1,3 Millionen Nutzerkonten.

Durch die Mails ließen sich außerdem auch die mit den Konten verbundenen E-Mail-Adressen einsehen. Inzwischen hat Google die einschlägigen Seiten aus seinem Suchindex entfernt.

Die Links waren nur einmalig nutzbar. Sobald ein Anwender darauf klickte, kam ein zweiter Klick zu keinem Ergebnis. Facebook-Entwickler Matt Jones erklärte das Prinzip gegenüber Hacker News: „Wir schicken diese Mails nur an die Konteninhaber und machen sie nie öffentlich. Trotzdem richten wir Sicherheitsmaßnahmen ein, um zu verhindern, dass ein Fremder den Link anklicken kann.“ Jemand müsse sie online gestellt haben, sonst wären sie nicht in Google zu finden gewesen. Facebooks Sicherheitssystem nehme jedenfalls zusätzliche Überprüfungen vor, um sicherzustellen, dass es sich wirklich um den Konteninhaber handle.

Inzwischen müssten die meisten Links längst ungültig sein, weil sie nur kurze Zeit aktiv seien, sagt Jones. „Trotzdem haben wir aufgrund der Veröffentlichung diese Funktion einstweilen offline genommen. Zusätzlich sichern wir alle Konten von Nutzern ab, die diese Funktion in letzter Zeit in Anspruch genommen haben.“

[mit Material von Zack Whittaker, News.com]

Tipp: Wie gut kennen Sie Soziale Netzwerke? Testen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.