Das könnte dich auch interessieren

Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Marketing

Facebook-Lücke: Direktzugriff auf fremde Konten per Googlesuche

    Facebook-Lücke: Direktzugriff auf fremde Konten per Googlesuche
Facebook-Marketing wird sich mehr und mehr auf den News-Feed konzentrieren. (©iStockphoto.com/cruphoto)

Bei Hacker-News wird gerade von einer Facebook-Lücke mit enormen Ausmaßen berichtet. Über eine spezielle Suchanfrage in der Websuche von Google tauchen über 1,3 Millionen Links zu Facebook-Benachrichtigungen auf, die unter Umständen den direkten Zugang zu den fremden Profilen ermöglichen.

Facebook-Lücke: E-Mail-Benachrichtigungen gelangen in den Google-Index

Nach einer ersten Theorie des Hacker-News-Lesers jpadvo betrifft die Facebook-Lücke die E-Mail-Benachrichtigungen, die Facebook an Nutzer verschickt, wenn diese beispielsweise auf einem Foto markiert werden und sie die entsprechende Benachrichtigungsoption aktiviert haben. Auf noch ungeklärtem Wege scheinen einige dieser und anderer E-Mail-Benachrichtigungen in den Suchindex von Google gelangt zu sein, so dass sie mit einer speziellen site:facebook.com-Suchanfrage gelistet werden. Aktuell findet Google so über 1,3 Millionen Einträge mit einem Link zu Inhalten mit Personenmarkierungen.

Wirklich ernst wird diese Lücke aber erst durch ein Feature, das Facebook einsetzt, um es den Nutzern komfortabler zu machen, auf solche E-Mails zu reagieren. Der enthaltene Link verfügt schon über die User-ID und das Passwort, so dass ein Klick auf den Link zum automatischen Einloggen und zur direkten Weiterleitung auf den markierten Inhalt führt. Facebook nutzt hier einen Einmal-Token, der nach dem ersten Klick nicht mehr brauchbar ist und auch nur eine gewisse zeitlang aktiv ist. Allerdings wird auch bei allen weiteren Verwendungen immer die E-Mail-Adresse der Nutzer angezeigt, das Passwort aber nicht. Spammer könnten das mit einem Skript zum Einsammeln von E-Mail-Adressen nutzen.

Facebook-Lücke: Ein Klick auf einen der bei Google gelisteten Links führt zur Anmeldeseite. In diesem Fall wurde der Link schon benutzt, so dass kein Auto-Login stattfindet. Immerhin ist die E-Mail-Adresse des Nutzers ist sehen.

Weitergeleitete E-Mail führte zur Entdeckung der Facebook-Lücke

Der Hacker-News-User nico-roddz schreibt, er habe die Facebook-Lücke durch einen Zufall entdeckt. Ein Freund habe ihn eine Benachrichtigungs-E-Mail von Facebook weitergeleitet und er konnte sich dann mit nur einem Klick in den Account des Freundes einloggen. Daraufhin habe er spezielle Merkmale aus dem Link entnommen, sie gegoogelt und wurde fündig.

Allein die Tatsache, dass er sich mit dem Notification-Link ohne Probleme in ein fremdes Konto einloggen konnte, stelle schon ein Sicherheitsproblem dar, betont er weiter.

Facebook dementiert Lücke

In einem ersten Statement dementiert der Facebook-Entwickler Matt Jones die Verantwortlichkeit von Facebook:

My name is Matt Jones, and I work on the Facbook security team that looked into this tonight. We only send these URLs to the email address of the account owner for their ease of use and never make them publicly available. Even then we put protection in place to reduce the likelihood that anyone else could click through to the account.

For a search engine to come across these links, the content of the emails would need to have been posted online (e.g. via throwaway email sites, as someone pointed out - or people whose email addresses go to email lists with online archives).

As jpadvo surmised, the nonces expire after a period of time. They also only work for certain users, and even then we run additional security checks to make sure it looks like the account owner who’s logging in. Regardless, due to some of these links being disclosed, we’ve turned the feature off until we can better ensure its security for users whose email contents are publicly visible. We are also securing the accounts of anyone who recently logged in through this flow.

In the future if you run into something that looks like a security problem with Facebook, feel free to disclose it responsibly through our whitehat program: http://on.fb.me/ncX5MC. That way, in addition to making some money, you can avoid a bunch of script kiddies exploiting whatever the issue is that you’ve found.

Zusammenfassend lässt sich sagen, dass die Schuldfrage für diese Sicherheitslücke derzeit nicht beantwortet werden kann. Wichtig wäre es jetzt herauszufinden, wie diese E-Mail-Benachrichtigungen in den Index von Google gelangen konnten. Bis das geklärt ist, könnte man sicherheitshalber auf sämtliche E-Mail-Benachrichtigungen von Facebook verzichten.

Die Auto-Login-Funktion wurde von Facebook zwar sicherheitshalber deaktiviert, aber die E-Mail-Adressen können wahrscheinlich immer noch eingesehen werden, wenn die Links in den Googleindex geraten. Aber auch dort scheint sich schon was getan zu haben, denn die ursprüngliche Suchanfrage liefert aktuell keine Ergebnisse mehr. Warten wir also auf die weitere Aufklärung dieser Lücke...

Finde einen Job, den du liebst zum Thema Social Media, Online Marketing

Alle Jobs zum Thema Social Media, Online Marketing
6 Reaktionen
Kay
Kay

Mich wundert wirklich wie viele Probleme Facebook mit Sicherheitslücken hat. Wenn ich mal zurück denke, es gab mal eine Zeit in der alle Bilder sichbar waren, egal ob öffentlich oder nicht. Ich denke gerade Facebook, die auch oft wegen Datenschutz in der kritik stehen, sollten besonders gut auf Sicherheitslücken achten.

Antworten
Slin_ronsor
Slin_ronsor

Ab zu Diaspora*, dem dezentralen open source socialnetwork!

Link mit den größten Servern:
http://podupti.me/

Antworten
sky light
sky light

klingt gespenstig. Fb luecke und die datenkrake. Und der user schaut in die roehre

Antworten
Dominik
Dominik

Ohman, mehr fällt mir dazu nicht ein.
BUUUUUH!

Antworten
Kau-Boy
Kau-Boy

Die Aussage von Facebook, dass nur öffentlich zugängliche Links im Index landen zeugt gerade zu von totaler Unkenntnis. Die haben wohl noch nie etwas von der Google-Toolbar oder den diversen SEO-Tools gehört. Damit landen auch von unserer Seite häufiger mal Backend-Links im Index, die so bestimmt niemals öffentlich sind.

Aber E-Mail-Adressen in Klartext in einen Link zu codieren, das ist ja schon grob fahrlässig!

Antworten
david
david

Schuldfrage nicht geklärt? Also ich finde so ein Feature schon derart risikobehaftet, dass es für mich ein Unding ist. Lieber logge ich mich mit meinem Passwort ein.

Antworten

Melde dich mit deinem t3n-Account an oder fülle die unteren Felder aus.

Abbrechen