Categories: Sicherheit

Facebook beseitigt Schwachstellen in Instagram

Facebook hat zwei Sicherheitslücken in seinem Fotodienst Instagram geschlossen. Angreifer hätten sie theoretisch ausnutzen können, um die Konten von rund einer Million Nutzer zu kompromittieren. Entdecker der Schwachstellen ist der belgische Sicherheitsforscher Arne Swinnen, der im Rahmen von Facebooks Bug-Bounty-Programm dafür 5000 Dollar Prämie erhalten hat.

Swinnen hatte die beiden Lecks in Instagram gefunden, als er auf einen alten Test-Account zugreifen wollte. Wie er in einem Blogbeitrag ausführt, wurde er bei dem Versuch zu einer Seite umgeleitet, auf der er wegen längerer Inaktivität sein Konto verifizieren sollte. Da er keine Telefonnummer hinterlegt hatte, blieb ihm nur die Möglichkeit der E-Mail-Verifizierung.

Dabei fiel Swinnen auf, dass die Seite zum einen keine Authentifizierungsprotokolle nutzte und zum anderen ihre Webadresse die für jeden Nutzer einzigartige Instagram-ID enthielt. Zwar stellt dies nicht zwingend ein Problem dar, doch Swinnen konnte durch den Austausch einiger Ziffern die entsprechenden Einstiegsseiten eines geringen Prozentsatzes anderer Nutzer aufrufen, deren Acoounts ebenfalls vorübergehend gesperrt waren. Im Anschluss gelang es ihm, die damit verknüpften E-Mail-Adressen zu ändern.

„Sobald ein Angreifer die mit einem Instagram-Konto verknüpfte E-Mail-Adresse festlegen kann, ist er in der Lage, das Passwort per E-Mail zurückzusetzen und die vollständige Kontrolle über das Konto zu übernehmen“, schreibt der Sicherheitsforscher in seinem Blog. „Das hat große Auswirkungen auf die Sicherheit, aber es sind nur 0,17 Prozent der Konten betroffen.“

Bei seinen weiteren Nachforschungen stellte Swinnen fest, dass auch mit den anfälligen Konten verknüpfte Telefonnummern geändert werden konnten. Auf diese Weise sei bei 3,88 Prozent der vorübergehend gesperrten Accounts das Zurücksetzen des Passworts per SMS möglich gewesen. Eine kurze manuelle Überprüfung seinerseits ergab zudem, dass eine Reihe von Konten, die kompromittierbar waren, nur für wenige Wochen inaktiv waren und zahlreiche Follower hatten.

ANZEIGE

Die Cloud forciert Innovationen

Ohne Cloud-Technologie sähe der Alltag heute ganz anders aus. Dropbox, Facebook, Google und Musikdienste gäbe es nicht. Erst Cloud-Technologien haben diese Services ermöglicht und treiben heute Innovationen schneller denn je voran.

Swinnen war es nach eigener Aussage nicht möglich, die Angriffe zur Kontenübernahme zu reproduzieren, weil er sonst die legitimen Konten von Instagram-Nutzern hätte angreifen müssen. Seine Erläuterungen zu der fehlenden Authentifizierung und der Insecure-Direct-Object-Reference-Lücke waren für Facebook aber dennoch ausreichend, um die Schwachstellen zu beseitigen und ihn für seinen Fund zu entlohnen.

Swinnen hatte Facebook am 14. März über die Sicherheitslücken informiert. Binnen 24 Stunden waren sie geschlossen, indem auf Seiten zur Änderung von Profilinformationen wie E-Mail-Adresse oder Telefonnummer nun eine Authentifizierung nötig ist. Zehn Tage später, also am 25. März, sprach Facebook Swinnen dann die Prämie von 5000 Dollar zu.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Sind Sie ein Facebook-Experte? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

3 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

4 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

4 Tagen ago