Facebook hat eine Sicherheitslücke geschlossen, die es Hackern erlaubte, beliebige auf dem Social Network gespeicherte Fotos zu löschen. Dem Entdecker der Schwachstelle, dem indischen Sicherheitsforscher Arul Kumar, zahlte das Unternehmen eine Belohnung von 12.500 Dollar.
Einem Eintrag in Kumars Blog zufolge steckte die Lücke in Facebooks Support Dashboard. Den als kritisch eingestuften Fehler konnte Kumar mit beliebigen Browsern reproduzieren. Es sei besonders einfach gewesen, Bilder über Facebooks mobile Website zu löschen.
Das Support Dashboard wird benutzt, um die Löschung von Fotos zu beantragen, die beispielsweise Rechte anderer verletzen. Beschwerden werden normalerweise von Mitarbeitern des Unternehmens geprüft. Alternativ können sie auch direkt an den Inhaber eines Bilds geschickt werden. Bei diesem Verfahren wird ein Link generiert, den der Besitzer anklicken kann, um das fragliche Foto zu entfernen.
Kumar zufolge ließen sich zwei Parameter in dem Link, die das Bild und den Eigentümer eindeutig bestimmen, manipulieren. Als Folge konnten Hacker den Link in ihr Postfach umleiten – und zwar ohne Wissen des eigentlichen Besitzers. Die ID eines Fotos fand Kumar in dessen Facebook-URL. Die ID des Inhabers wiederum ermittelte er mithilfe von Facebook Graph. Zudem benötige ein Hacker zwei Facebook-Konten – eines zum Senden der Löschanfrage und ein anderes für den Empfang des manipulierten Links, schreibt Kumar.
Die Lücke ermöglichte es, ohne jegliche Einschränkungen Bilder von Facebook-Seiten, Gruppen und Nutzerprofilen zu löschen. Es war nicht der erste Fehler, den Kumar an Facebook gemeldet hat. Für einen Anfang des Jahres übermittelten Bug habe er eine Prämie von 1500 Dollar erhalten, heißt es in Kumars Blog.
Einem Sicherheitsforscher, der im August Details zu einem Bug in Mark Zuckerbergs Chronik veröffentlicht hatte, hatte Facebook eine Belohnung verweigert. Daraufhin sammelte die Hacker-Community mehr als 13.000 Dollar für Khalil Shreateh ein.
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Sind Sie ein Facebook-Experte? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.
Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.