Facebook hat eine Sicherheitslücke geschlossen, die es Hackern erlaubte, beliebige auf dem Social Network gespeicherte Fotos zu löschen. Dem Entdecker der Schwachstelle, dem indischen Sicherheitsforscher Arul Kumar, zahlte das Unternehmen eine Belohnung von 12.500 Dollar.
Einem Eintrag in Kumars Blog zufolge steckte die Lücke in Facebooks Support Dashboard. Den als kritisch eingestuften Fehler konnte Kumar mit beliebigen Browsern reproduzieren. Es sei besonders einfach gewesen, Bilder über Facebooks mobile Website zu löschen.
Das Support Dashboard wird benutzt, um die Löschung von Fotos zu beantragen, die beispielsweise Rechte anderer verletzen. Beschwerden werden normalerweise von Mitarbeitern des Unternehmens geprüft. Alternativ können sie auch direkt an den Inhaber eines Bilds geschickt werden. Bei diesem Verfahren wird ein Link generiert, den der Besitzer anklicken kann, um das fragliche Foto zu entfernen.
Kumar zufolge ließen sich zwei Parameter in dem Link, die das Bild und den Eigentümer eindeutig bestimmen, manipulieren. Als Folge konnten Hacker den Link in ihr Postfach umleiten – und zwar ohne Wissen des eigentlichen Besitzers. Die ID eines Fotos fand Kumar in dessen Facebook-URL. Die ID des Inhabers wiederum ermittelte er mithilfe von Facebook Graph. Zudem benötige ein Hacker zwei Facebook-Konten – eines zum Senden der Löschanfrage und ein anderes für den Empfang des manipulierten Links, schreibt Kumar.
Die Lücke ermöglichte es, ohne jegliche Einschränkungen Bilder von Facebook-Seiten, Gruppen und Nutzerprofilen zu löschen. Es war nicht der erste Fehler, den Kumar an Facebook gemeldet hat. Für einen Anfang des Jahres übermittelten Bug habe er eine Prämie von 1500 Dollar erhalten, heißt es in Kumars Blog.
Einem Sicherheitsforscher, der im August Details zu einem Bug in Mark Zuckerbergs Chronik veröffentlicht hatte, hatte Facebook eine Belohnung verweigert. Daraufhin sammelte die Hacker-Community mehr als 13.000 Dollar für Khalil Shreateh ein.
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Sind Sie ein Facebook-Experte? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
