Facebook hat zwei Sicherheitslücken in seinem Fotodienst Instagram geschlossen. Angreifer hätten sie theoretisch ausnutzen können, um die Konten von rund einer Million Nutzer zu kompromittieren. Entdecker der Schwachstellen ist der belgische Sicherheitsforscher Arne Swinnen, der im Rahmen von Facebooks Bug-Bounty-Programm dafür 5000 Dollar Prämie erhalten hat.
Dabei fiel Swinnen auf, dass die Seite zum einen keine Authentifizierungsprotokolle nutzte und zum anderen ihre Webadresse die für jeden Nutzer einzigartige Instagram-ID enthielt. Zwar stellt dies nicht zwingend ein Problem dar, doch Swinnen konnte durch den Austausch einiger Ziffern die entsprechenden Einstiegsseiten eines geringen Prozentsatzes anderer Nutzer aufrufen, deren Acoounts ebenfalls vorübergehend gesperrt waren. Im Anschluss gelang es ihm, die damit verknüpften E-Mail-Adressen zu ändern.
„Sobald ein Angreifer die mit einem Instagram-Konto verknüpfte E-Mail-Adresse festlegen kann, ist er in der Lage, das Passwort per E-Mail zurückzusetzen und die vollständige Kontrolle über das Konto zu übernehmen“, schreibt der Sicherheitsforscher in seinem Blog. „Das hat große Auswirkungen auf die Sicherheit, aber es sind nur 0,17 Prozent der Konten betroffen.“
Bei seinen weiteren Nachforschungen stellte Swinnen fest, dass auch mit den anfälligen Konten verknüpfte Telefonnummern geändert werden konnten. Auf diese Weise sei bei 3,88 Prozent der vorübergehend gesperrten Accounts das Zurücksetzen des Passworts per SMS möglich gewesen. Eine kurze manuelle Überprüfung seinerseits ergab zudem, dass eine Reihe von Konten, die kompromittierbar waren, nur für wenige Wochen inaktiv waren und zahlreiche Follower hatten.
Ohne Cloud-Technologie sähe der Alltag heute ganz anders aus. Dropbox, Facebook, Google und Musikdienste gäbe es nicht. Erst Cloud-Technologien haben diese Services ermöglicht und treiben heute Innovationen schneller denn je voran.
Swinnen war es nach eigener Aussage nicht möglich, die Angriffe zur Kontenübernahme zu reproduzieren, weil er sonst die legitimen Konten von Instagram-Nutzern hätte angreifen müssen. Seine Erläuterungen zu der fehlenden Authentifizierung und der Insecure-Direct-Object-Reference-Lücke waren für Facebook aber dennoch ausreichend, um die Schwachstellen zu beseitigen und ihn für seinen Fund zu entlohnen.
Swinnen hatte Facebook am 14. März über die Sicherheitslücken informiert. Binnen 24 Stunden waren sie geschlossen, indem auf Seiten zur Änderung von Profilinformationen wie E-Mail-Adresse oder Telefonnummer nun eine Authentifizierung nötig ist. Zehn Tage später, also am 25. März, sprach Facebook Swinnen dann die Prämie von 5000 Dollar zu.
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Sind Sie ein Facebook-Experte? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…