Facebook-Bug erlaubt Löschung beliebiger Fotos

Facebook hat einen Fehler beseitigt, der es Nutzern erlaubte, beliebige Fotos auf Facebook zu löschen, und zwar unabhängig davon, ob sie privat oder öffentlich sind. Entdeckt wurde der Bug vom Sicherheitsforscher Pouya Daribi. Er steckte in der Funktion zur Erstellung von Umfragen im eigenen Facebook-Profil.

</aUmfragen können auch Bilder als Ergänzung zu den gestellten Fragen enthalten. Deren ID ist in einem HTML-Formular enthalten, das an Facebooks Server übermittelt wird, wie The Register berichtet. Darabi fand demnach einen Weg, die ID so zu verändern, dass er beliebige Fotos – auch von Fremden – in die Umfrage einfügen konnte. Das erlaubte es ihm nicht nur, sich als privat eingestufte Fotos von Facebook-Mitgliedern anzuschauen, mit denen er nicht befreundet war, sondern auch die Fotos zusammen mit seiner Umfrage dauerhaft zu löschen.

Der Fehler ließ sich dem Forscher zufolge jedoch nur mit einem erheblichen Aufwand ausnutzen. Die IDs der Fotos seien nämlich nicht fortlaufend. Es erfordere mehrere Versuche, um eine gültige ID für ein tatsächlich vorhandenes Foto zu generieren. Zudem sei es nicht möglich, zielgerichtet Fotos eines bestimmten Nutzers aufzurufen oder zu löschen.

Trotzdem zahlte Facebook dem Forscher eine Belohnung von 10.000 Dollar. In einem am Wochenende veröffentlichten Blogeintrag lobte Darabi Facebook für seine schnelle Reaktion. Dem Sicherheitsteam des Unternehmens habe er am 3. November den Fehler gemeldet und ein Proof-of-Concept zur Verfügung gestellt. Bereits nach 12 Stunden habe Facebook einen provisorischen Patch eingespielt. Ein vollständiger Fix habe zwei Tage später zur Verfügung gestanden.

Die Umfragefunktion hatte Facebook erst Anfang des Monats für alle Nutzer weltweit freigegeben. Sie steht im Browser sowie den Apps für iOS und Android beim Verfassen eines neuen Beitrags zur Verfügung. Derzeit können Umfragen zwei Optionen enthalten, die mit einem Foto oder einer GIF-Datei illustriert werden können.

Der Sicherheitsanbieter Sophos weist darauf hin, dass es nicht ungewöhnlich ist, dass Tools, die Nutzern Zugriff auf ihre eigenen Daten geben sollen, auch versehentlich den Zugriff auf Objekte anderer Nutzer erlauben. „Das ist so, als würden Sie in einem Hotel einchecken, den Schlüssel für ihr Zimmer erhalten und zufällig herausfinden, dass er alle Zimmer auf ihrer Etage öffnet“, schreibt Sophos-Mitarbeiter Paul Ducklin in einem Blogeintrag. „Falls Sie Programmierer sind, denken Sie daran, alles zu testen.“

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

[mit Material von Matthew Broersma, Silicon.co.uk]

Tipp: Sind Sie ein Facebook-Experte? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

SEO-Beratung von Spezialisten wie WOXOW: Deshalb wird sie immer wichtiger

Wer bei Google mit den passenden Suchbegriffen nicht in den Top-Rankings gefunden wird, der kann…

1 Tag ago

Umfrage: Weniger als die Hälfte der digitalen Initiativen sind erfolgreich

Unternehmen räumen der Entwicklung technischer und digitaler Führungskompetenzen ein zu geringe Priorität ein. Gartner fordert…

1 Tag ago

Google schließt zwei Zero-Day-Lücken in Android

Betroffen sind Android 12, 13, 14 und 15. Google sind zielgerichtete Angriffe auf die beiden…

2 Tagen ago

Gefährliche Weiterentwicklung der APT36-Malware ElizaRAT

Schadprogramm der pakistanischen Hackergruppe APT36 weitet seine Aktivitäten aus und verbessert seine Techniken.

2 Tagen ago

Google schließt weitere schwerwiegende Sicherheitslücken in Chrome 130

Tenable vergibt für beide Schwachstellen einen CVSS-Basis-Score von 9,8. Zwei Use-after-free-Bugs erlauben möglicherweise das Einschleusen…

2 Tagen ago

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

3 Tagen ago