Facebook hat zwei Sicherheitslücken in seinem Fotodienst Instagram geschlossen. Angreifer hätten sie theoretisch ausnutzen können, um die Konten von rund einer Million Nutzer zu kompromittieren. Entdecker der Schwachstellen ist der belgische Sicherheitsforscher Arne Swinnen, der im Rahmen von Facebooks Bug-Bounty-Programm dafür 5000 Dollar Prämie erhalten hat.
Dabei fiel Swinnen auf, dass die Seite zum einen keine Authentifizierungsprotokolle nutzte und zum anderen ihre Webadresse die für jeden Nutzer einzigartige Instagram-ID enthielt. Zwar stellt dies nicht zwingend ein Problem dar, doch Swinnen konnte durch den Austausch einiger Ziffern die entsprechenden Einstiegsseiten eines geringen Prozentsatzes anderer Nutzer aufrufen, deren Acoounts ebenfalls vorübergehend gesperrt waren. Im Anschluss gelang es ihm, die damit verknüpften E-Mail-Adressen zu ändern.
„Sobald ein Angreifer die mit einem Instagram-Konto verknüpfte E-Mail-Adresse festlegen kann, ist er in der Lage, das Passwort per E-Mail zurückzusetzen und die vollständige Kontrolle über das Konto zu übernehmen“, schreibt der Sicherheitsforscher in seinem Blog. „Das hat große Auswirkungen auf die Sicherheit, aber es sind nur 0,17 Prozent der Konten betroffen.“
Bei seinen weiteren Nachforschungen stellte Swinnen fest, dass auch mit den anfälligen Konten verknüpfte Telefonnummern geändert werden konnten. Auf diese Weise sei bei 3,88 Prozent der vorübergehend gesperrten Accounts das Zurücksetzen des Passworts per SMS möglich gewesen. Eine kurze manuelle Überprüfung seinerseits ergab zudem, dass eine Reihe von Konten, die kompromittierbar waren, nur für wenige Wochen inaktiv waren und zahlreiche Follower hatten.
Ohne Cloud-Technologie sähe der Alltag heute ganz anders aus. Dropbox, Facebook, Google und Musikdienste gäbe es nicht. Erst Cloud-Technologien haben diese Services ermöglicht und treiben heute Innovationen schneller denn je voran.
Swinnen war es nach eigener Aussage nicht möglich, die Angriffe zur Kontenübernahme zu reproduzieren, weil er sonst die legitimen Konten von Instagram-Nutzern hätte angreifen müssen. Seine Erläuterungen zu der fehlenden Authentifizierung und der Insecure-Direct-Object-Reference-Lücke waren für Facebook aber dennoch ausreichend, um die Schwachstellen zu beseitigen und ihn für seinen Fund zu entlohnen.
Swinnen hatte Facebook am 14. März über die Sicherheitslücken informiert. Binnen 24 Stunden waren sie geschlossen, indem auf Seiten zur Änderung von Profilinformationen wie E-Mail-Adresse oder Telefonnummer nun eine Authentifizierung nötig ist. Zehn Tage später, also am 25. März, sprach Facebook Swinnen dann die Prämie von 5000 Dollar zu.
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Sind Sie ein Facebook-Experte? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…