Bericht: Sicherheitsforscher findet Hintertür in Facebooks Firmen-Servern

Ein Mitarbeiter des taiwanischen Sicherheitsanbieters Devcore hat Facebook auf eine Hintertür in seinen Firmen-Servern aufmerksam gemacht. Sie wurde offenbar von Hackern installiert, die vor ihm Zugriff auf die Server hatten. Auf die Schwachstelle gestoßen ist er bei Arbeiten im Rahmen von Facebooks Prämienprogramm für Sicherheitslücken, wie Computerworld berichtet.

Bei der Analyse von Facebooks Internetangeboten stieß Tsai auf den Server „files.fb.com“, der eine von Accellion entwickelte Anwendung zum sicheren Datenaustausch hostete, die wahrscheinlich von Mitarbeitern des Social Network benutzt wird. In der Anwendung fand er insgesamt sieben Anfälligkeiten, von denen zwei das Einschleusen und Ausführen von Schadcode aus der Ferne erlaubten.

Die Lecks benutzte er zudem, um auf Facebooks Firmen-Server zuzugreifen und Daten aus Log-Dateien für seinen Bericht an Facebooks Sicherheitsteam zu sammeln. Dabei entdeckte er einige ungewöhnliche Einträge, die ihn dem Bericht zufolge zu einer PHP-basierten Hintertür führten, die offenbar Hacker auf dem Server hinterlassen hatten.

Sie erlaubte es den Unbekannten, Shell-Befehle auszuführen, Dateien hochzuladen und den Anmeldeprozess der Accellion-Anwendung abzufangen. Als Folge hatten die Hackern auch Zugriff auf eine Datei mit den Anmeldedaten von Facebook-Mitarbeitern, die die Filesharing-App benutzt haben.

„Als ich die Datei entdeckt habe, gab es rund 300 Anmeldedaten aus dem Zeitraum zwischen 1. und 7. Februar“, schreibt Tsai in einem Blogeintrag. „Als ich das gesehen habe, dachte ist, das ist ein sehr ernster Sicherheitsvorfall.“

Loading ...

Tsai vermutet, dass die Anmeldedaten, da die Authentifizierung über LDAP und Windows Active Directory erfolgt, auch für andere Firmen-Server von Facebook funktionieren. Als Beispiele nannte er die Outlook Web App oder gar VPN-Zugänge. Ob sie sich für andere Server nutzen lassen, hat Tsai nach eigenen Angaben jedoch nicht getestet.

Die Log-Dateien zeigen jedoch, dass die Hacker Anmeldedaten von Facebook-Mitarbeitern erbeutet haben. Sie sollen auch versucht haben, sich bei anderen Servern anzumelden und sogar private SSL-Schlüssel zu stehlen. „Es gab zwei Phasen, in denen das System offenbar von Hackern benutzt wurde, eine Anfang Juli und ein Mitte September“, so Tsai weiter. Im Juli sei etwa zum selben Zeitpunkt eine kritische Sicherheitslücke in der File Transfer Appliance von Accellion öffentlich gemacht worden.

HIGHLIGHT

Samsung Galaxy TabPro S im Test

Mit einem Gewicht von nur 693 Gramm gehört das Samsung Galaxy TabPro S zu den Leichtgewichten unter den 12-Zoll-Windows-Tablets. Hervorzuheben ist auch das verwendete Super AMOLED-Display: Es liefert einen hervorragenden Schwarzwert und einen sehr hohen Kontrast. Die Farbdarstellung ist exzellent

Das Ergebnis seiner Untersuchung gab Tsai an Facebook und auch an Accellion weiter. Facebook zahlte dem Forscher dafür eine Belohnung von 10.000 Dollar. Seinen Blogeintrag veröffentlichte er in der vergangenen Woche nach Abschluss von Facebooks eigenen Ermittlungen.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

3 Tagen ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

6 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

6 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

7 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

7 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

1 Woche ago