Facebook zahlt 33.500 Dollar für kritische Sicherheitslücke

Facebook hat einem Sicherheitsforscher, der eine kritische Sicherheitslücke in den Systemen des Social Networks entdeckt hat, eine Belohnung von 33.500 Dollar bezahlt. Es ist der höchste Betrag, den das Unternehmen bisher im Rahmen seines Prämienprogramms ausgeschüttet hat. Die Schwachstelle, die in der Implementierung des Authentifizierungssystems OpenID steckt, hätte Hackern einen Zugriff auf Facebooks Passwort-Datenbank ermöglicht.

OpenID ist eine offene Technologie, die es Nutzern erlaubt, ein Konto bei einem beliebigen Anbieter anzulegen, und die Anmeldedaten auch für den Zugang zu anderen Diensten zu nutzen. Beispielsweise kann ein mit Symantecs Personal Identity Portal erstelltes Konto verwendet werden, um sich beim Blogging-Dienst WordPress einzuloggen.

Um im Fall eines Passwortverlusts die Identität eines Nutzers zu überprüfen, kann ein Unternehmen wie Facebook beim ursprünglichen Provider der Anmeldedaten ein XML-Dokument anfordern, das die Identität bestätigt. Allerdings lässt sich durch eine bekannte XML-Schwachstelle der Uniform Resource Identifier (URI) des Absenders des Dokuments fälschen.

Die Manipulation der URI bedeutete, dass Facebooks Server zur Prüfung der Identität eines OpenID-Nutzers Verbindung zu einem frei wählbaren Netzwerk aufnahmen. Das machte Facebooks Netzwerk anfällig für Denial-of-Service-Angriffe. Hacker erhielten so aber auch Lesezugriff auf das lokale Dateisystem eines Anmeldeservers des Social Network.

Der brasilianische Sicherheitsforscher Reginaldo Silva, der sich nach eigenen Angaben seit 2012 mit Lücken in OpenID befasst, konnte die Schwachstelle ausnutzen, um auf eine Datei zuzugreifen, die eine Liste aller Facebook-Nutzerkonten sowie die Speicherorte ihrer Stammverzeichnisse auf dem Server enthielt. An dem Punkt brach Silva seine Untersuchung ab und informierte Facebook über seine Erkenntnisse.

„Ich wollte keinen falschen Eindruck erwecken und habe entschieden, den Fehler sofort zu melden und um Erlaubnis zu fragen, die Remotecodeausführung weiter zu testen, während bereits an einem Fix gearbeitet wird“, schreibt Silva in seinem Blog. Facebook habe schon innerhalb von dreieinhalb Stunden einen ersten Fix bereitgestellt und den XML-Parser so konfiguriert, dass er keine externen Objekte lade. Die Überprüfung von Facebooks Log-Dateien hätten zudem gezeigt, dass die Sicherheitslücke noch nicht ausgenutzt worden war.

Der von Silva entdeckte Bug hat auch Auswirkungen auf andere Firmen, die OpenID benutzen. Unter anderem waren Drupal, Google und StackOverflow in der Lage, die Sicherheit ihrer Systeme zu verbessern. Aufgrund der hohen Verbreitung von OpenID schließt Silva jedoch nicht aus, dass die Schwachstelle noch nicht von allen OpenID-Anbietern beseitigt worden ist.

[mit Material von Michael Lee, ZDNet.com]

Tipp: Wie gut kennen Sie Soziale Netzwerke? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago