Categories: Soziale Netze

Sicherheitslücke erlaubte das Löschen beliebiger Fotos auf Facebook

Facebook hat eine Sicherheitslücke geschlossen, die es auch Unbefugten erlaubte, beliebige auf dem Social Network veröffentlichte Fotos zu löschen. Dem Sicherheitsforscher Laxman Muthiyah zufolge, der die Schwachstelle entdeckt und an Facebook gemeldet hat, handelt es sich um einen relativ einfachen Fehler. Es sei ihm aber möglich gewesen, nicht nur einzelne Fotos, sondern ganze Alben zu entfernen.

„Jedes Foto-Album eines Nutzers, einer Seite oder einer Gruppe konnte gelöscht werden“, schreibt Muthiyah in seinem Blog. Er habe den Bug bei einer Analyse von Facebooks Graph-API gefunden. Die Programmierschnittstelle gibt Entwicklern Zugriff auf Facebooks Daten.

Die Graph-API soll es eigentlich nur dem Eigentümer erlauben, Fotos oder Alben einer Person zu entfernen. Durch die Manipulation der Zugangs-Token auf seinem mobilen Gerät sei es ihm aber gelungen, Facebook davon zu überzeugen, dass er der Eigentümer der Bilder sei, ergänzte Muthiyah. Dadurch habe er Lese- und Schreibrechte erhalten und sei in der Lage gewesen, ganze Alben zu löschen.

Facebook selbst hat den Fehler offenbar als sehr kritisch eingestuft. Er wurde innerhalb von 2 Stunden nach der Meldung des Forschers behoben. Für seine Entdeckung erhielt er eine Belohnung von 12.500 Dollar – eine der höchsten Prämien, die Facebook für Details zu Sicherheitslücken vorsieht.

Das Sicherheitsunternehmen Sophos spekuliert in seinem Blog Naked Security, dass Facebook wahrscheinlich eine der größten Foto-Datenbanken besitzt, die je zusammengestellt wurde. Es beruft sich dabei auf eine Angabe des Social Networks aus dem Jahr 2013, wonach Nutzer täglich 350 Millionen Fotos auf Facebook hochladen. „Der von ihm entdeckte Fehler ist eine Waffe. Sie hätte niemanden getötet, sie hätte aber Millionen Menschen Leid zufügen können“, heißt es in dem Blogeintrag.

Ein Facebook-Sprecher bestätigte den Bug gegenüber Sophos. Ihm zufolge erlaubt der Fehler aber nur das Löschen öffentlicher Fotos beziehungsweise von Bildern, auf die der Angreifer auch regulär öffnen konnte. Es sei nicht möglich gewesen, damit die Datenschutzeinstellungen zu umgehen und auch als privat eingestufte Fotos zu sehen oder gar zu manipulieren.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

CopyRhadamantys greift weltweit Unternehmen an

Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.

2 Stunden ago

Facebook Marketplace: EU verhängt Geldbuße von fast 800 Millionen Euro gegen Meta

Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…

5 Stunden ago

Umfrage: Angestellte in Deutschland unterschätzen NIS-2-Richtlinie

Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…

14 Stunden ago

Kostenloser Dekryptor für ShrinkLocker

Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.

1 Tag ago

Malwarebytes warnt vor Betrugsmaschen beim Weihnachtseinkauf

In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…

1 Tag ago

Bedrohungsindex: Deutliche Zunahme von Infostealern im Oktober

Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.

2 Tagen ago