Facebook-Fehler ermöglichte das Löschen beliebiger Fotos

Facebook hat eine Sicherheitslücke geschlossen, die es Hackern erlaubte, beliebige auf dem Social Network gespeicherte Fotos zu löschen. Dem Entdecker der Schwachstelle, dem indischen Sicherheitsforscher Arul Kumar, zahlte das Unternehmen eine Belohnung von 12.500 Dollar.

Einem Eintrag in Kumars Blog zufolge steckte die Lücke in Facebooks Support Dashboard. Den als kritisch eingestuften Fehler konnte Kumar mit beliebigen Browsern reproduzieren. Es sei besonders einfach gewesen, Bilder über Facebooks mobile Website zu löschen.

Das Support Dashboard wird benutzt, um die Löschung von Fotos zu beantragen, die beispielsweise Rechte anderer verletzen. Beschwerden werden normalerweise von Mitarbeitern des Unternehmens geprüft. Alternativ können sie auch direkt an den Inhaber eines Bilds geschickt werden. Bei diesem Verfahren wird ein Link generiert, den der Besitzer anklicken kann, um das fragliche Foto zu entfernen.

Kumar zufolge ließen sich zwei Parameter in dem Link, die das Bild und den Eigentümer eindeutig bestimmen, manipulieren. Als Folge konnten Hacker den Link in ihr Postfach umleiten – und zwar ohne Wissen des eigentlichen Besitzers. Die ID eines Fotos fand Kumar in dessen Facebook-URL. Die ID des Inhabers wiederum ermittelte er mithilfe von Facebook Graph. Zudem benötige ein Hacker zwei Facebook-Konten – eines zum Senden der Löschanfrage und ein anderes für den Empfang des manipulierten Links, schreibt Kumar.

Die Lücke ermöglichte es, ohne jegliche Einschränkungen Bilder von Facebook-Seiten, Gruppen und Nutzerprofilen zu löschen. Es war nicht der erste Fehler, den Kumar an Facebook gemeldet hat. Für einen Anfang des Jahres übermittelten Bug habe er eine Prämie von 1500 Dollar erhalten, heißt es in Kumars Blog.

Einem Sicherheitsforscher, der im August Details zu einem Bug in Mark Zuckerbergs Chronik veröffentlicht hatte, hatte Facebook eine Belohnung verweigert. Daraufhin sammelte die Hacker-Community mehr als 13.000 Dollar für Khalil Shreateh ein.

Der Sicherheitsforscher Arul Kumar hat eine Schwachstelle entdeckt, die das Löschen beliebiger Fotos auf Facebook erlaubt (Bild: Arul Kumar).

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Sind Sie ein Facebook-Experte? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

15 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

17 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

17 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

21 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

21 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

21 Stunden ago