Facebook-Bug gibt private Fotos von 6,8 Millionen Nutzern preis

Facebook hat einen Sicherheitsvorfall gemeldet, der fast 6,8 Millionen Mitglieder des Social Network betrifft. Ein Fehler in einer Programmierschnittstelle (Application Programming Interface, API) gab private Fotos preis. Zugriff auf die Bilder hatten demnach nicht beliebige Nutzer, sondern Apps von Drittanbietern und somit nur deren Nutzer.

Der Bug steckte in der Photo API, und zwar vom 13. bis zum 25. September. Facebooks Ermittlungen zufolge hatten möglicherweise rund 1500 Apps von 876 Entwicklern Zugriff auf nicht öffentliche Bilder von Facebook-Usern. Ob sich die Entwickler des Fehlers bewusst waren und missbräuchlich die Fotos abgerufen haben, ist offenbar nicht bekannt.

Facebook informiert betroffene Nutzer über einen Fehler in der Photo-API (Bild: Facebook).„Wenn jemand einer App die Erlaubnis gibt, auf seine Fotos auf Facebook zuzugreifen, gewähren wir der App in der Regel nur Zugriff auf Fotos, die von Personen auf ihrer Zeitachse freigegeben werden. In diesem Fall ermöglichte der Bug Entwicklern eventuell den Zugriff auf andere Fotos, wie zum Beispiel die auf dem Marktplatz oder in Facebook Stories geteilten“, beschreibt der Facebook-Entwickler Tomer Bar den Bug. „Der Fehler betraf auch Fotos, die von Leuten auf Facebook hochgeladen, aber nicht veröffentlicht wurden. Wenn zum Beispiel jemand ein Foto auf Facebook hochlädt, es aber nicht fertig veröffentlicht – vielleicht weil er die Internetverbindung verloren hat oder in ein Meeting gegangen ist – speichern wir eine Kopie dieses Fotos, damit die Person es hat, wenn sie zur App zurückkommt, um ihren Beitrag abzuschließen.“

Facebook erklärte, es werde die betroffenen Mitglieder nun über den Vorfall informieren. Dazu zählt das Unternehmen Nutzer, die eine der fraglichen Apps installiert und die Berechtigung für den Zugriff auf ihre Fotos gewährt haben. Die Benachrichtigung nennt alle Apps, die in dem genannten Zeitraum den fehlerhaften Code enthielten, und erlaubt es auch, die Apps zu löschen. Nutzer können aber auch eine spezielle Hilfe-Seite besuchen, um herauszufinden, ob sie betroffen sind.

Neben Hackerangriffen sind Fehler in Programmierschnittstellen eine häufige Ursache für massive Datenverluste. Twitter meldete ein solches Problem im September. Im Oktober nahm Google einen API-Bug, der zwar nur 500.000 Nutzer betraf, zum Anlass, sein Soziales Netzwerk Google+ zu schließen. Nach einem weiteren API-Bug im Dezember, der Daten von 52,5 Millionen Nutzern kompromittierte, zog Google die Abschaltung von August auf April 2019 vor.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago