Facebook hat eine Sicherheitslücke geschlossen, die es Hackern erlaubte, beliebige auf dem Social Network gespeicherte Fotos zu löschen. Dem Entdecker der Schwachstelle, dem indischen Sicherheitsforscher Arul Kumar, zahlte das Unternehmen eine Belohnung von 12.500 Dollar.
Einem Eintrag in Kumars Blog zufolge steckte die Lücke in Facebooks Support Dashboard. Den als kritisch eingestuften Fehler konnte Kumar mit beliebigen Browsern reproduzieren. Es sei besonders einfach gewesen, Bilder über Facebooks mobile Website zu löschen.
Das Support Dashboard wird benutzt, um die Löschung von Fotos zu beantragen, die beispielsweise Rechte anderer verletzen. Beschwerden werden normalerweise von Mitarbeitern des Unternehmens geprüft. Alternativ können sie auch direkt an den Inhaber eines Bilds geschickt werden. Bei diesem Verfahren wird ein Link generiert, den der Besitzer anklicken kann, um das fragliche Foto zu entfernen.
Kumar zufolge ließen sich zwei Parameter in dem Link, die das Bild und den Eigentümer eindeutig bestimmen, manipulieren. Als Folge konnten Hacker den Link in ihr Postfach umleiten – und zwar ohne Wissen des eigentlichen Besitzers. Die ID eines Fotos fand Kumar in dessen Facebook-URL. Die ID des Inhabers wiederum ermittelte er mithilfe von Facebook Graph. Zudem benötige ein Hacker zwei Facebook-Konten – eines zum Senden der Löschanfrage und ein anderes für den Empfang des manipulierten Links, schreibt Kumar.
Die Lücke ermöglichte es, ohne jegliche Einschränkungen Bilder von Facebook-Seiten, Gruppen und Nutzerprofilen zu löschen. Es war nicht der erste Fehler, den Kumar an Facebook gemeldet hat. Für einen Anfang des Jahres übermittelten Bug habe er eine Prämie von 1500 Dollar erhalten, heißt es in Kumars Blog.
Einem Sicherheitsforscher, der im August Details zu einem Bug in Mark Zuckerbergs Chronik veröffentlicht hatte, hatte Facebook eine Belohnung verweigert. Daraufhin sammelte die Hacker-Community mehr als 13.000 Dollar für Khalil Shreateh ein.
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Sind Sie ein Facebook-Experte? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
