t3n News Marketing

Facebook-Lücke: Direktzugriff auf fremde Konten per Googlesuche

Facebook-Lücke: Direktzugriff auf fremde Konten per Googlesuche

Bei Hacker-News wird gerade von einer Facebook-Lücke mit enormen Ausmaßen berichtet. Über eine spezielle Suchanfrage in der Websuche von tauchen über 1,3 Millionen Links zu Facebook-Benachrichtigungen auf, die unter Umständen den direkten Zugang zu den fremden Profilen ermöglichen.

Facebook-Lücke: Direktzugriff auf fremde Konten per Googlesuche

Facebook-Lücke: E-Mail-Benachrichtigungen gelangen in den Google-Index

Nach einer ersten Theorie des Hacker-News-Lesers jpadvo betrifft die Facebook-Lücke die E-Mail-Benachrichtigungen, die an Nutzer verschickt, wenn diese beispielsweise auf einem Foto markiert werden und sie die entsprechende Benachrichtigungsoption aktiviert haben. Auf noch ungeklärtem Wege scheinen einige dieser und anderer E-Mail-Benachrichtigungen in den Suchindex von Google gelangt zu sein, so dass sie mit einer speziellen site:facebook.com-Suchanfrage gelistet werden. Aktuell findet Google so über 1,3 Millionen Einträge mit einem Link zu Inhalten mit Personenmarkierungen.

Wirklich ernst wird diese Lücke aber erst durch ein Feature, das Facebook einsetzt, um es den Nutzern komfortabler zu machen, auf solche E-Mails zu reagieren. Der enthaltene Link verfügt schon über die User-ID und das Passwort, so dass ein Klick auf den Link zum automatischen Einloggen und zur direkten Weiterleitung auf den markierten Inhalt führt. Facebook nutzt hier einen Einmal-Token, der nach dem ersten Klick nicht mehr brauchbar ist und auch nur eine gewisse zeitlang aktiv ist. Allerdings wird auch bei allen weiteren Verwendungen immer die E-Mail-Adresse der Nutzer angezeigt, das Passwort aber nicht. Spammer könnten das mit einem Skript zum Einsammeln von E-Mail-Adressen nutzen.

Facebook-Lücke: Ein Klick auf einen der bei Google gelisteten Links führt zur Anmeldeseite. In diesem Fall wurde der Link schon benutzt, so dass kein Auto-Login stattfindet. Immerhin ist die E-Mail-Adresse des Nutzers ist sehen.

Weitergeleitete E-Mail führte zur Entdeckung der Facebook-Lücke

Der Hacker-News-User nico-roddz schreibt, er habe die Facebook-Lücke durch einen Zufall entdeckt. Ein Freund habe ihn eine Benachrichtigungs-E-Mail von Facebook weitergeleitet und er konnte sich dann mit nur einem Klick in den Account des Freundes einloggen. Daraufhin habe er spezielle Merkmale aus dem Link entnommen, sie gegoogelt und wurde fündig.

Allein die Tatsache, dass er sich mit dem Notification-Link ohne Probleme in ein fremdes Konto einloggen konnte, stelle schon ein Sicherheitsproblem dar, betont er weiter.

Facebook dementiert Lücke

In einem ersten Statement dementiert der Facebook-Entwickler Matt Jones die Verantwortlichkeit von Facebook:

My name is Matt Jones, and I work on the Facbook security team that looked into this tonight. We only send these URLs to the email address of the account owner for their ease of use and never make them publicly available. Even then we put protection in place to reduce the likelihood that anyone else could click through to the account.

For a search engine to come across these links, the content of the emails would need to have been posted online (e.g. via throwaway email sites, as someone pointed out - or people whose email addresses go to email lists with online archives).

As jpadvo surmised, the nonces expire after a period of time. They also only work for certain users, and even then we run additional security checks to make sure it looks like the account owner who’s logging in. Regardless, due to some of these links being disclosed, we’ve turned the feature off until we can better ensure its security for users whose email contents are publicly visible. We are also securing the accounts of anyone who recently logged in through this flow.

In the future if you run into something that looks like a security problem with Facebook, feel free to disclose it responsibly through our whitehat program: http://on.fb.me/ncX5MC. That way, in addition to making some money, you can avoid a bunch of script kiddies exploiting whatever the issue is that you’ve found.

Zusammenfassend lässt sich sagen, dass die Schuldfrage für diese Sicherheitslücke derzeit nicht beantwortet werden kann. Wichtig wäre es jetzt herauszufinden, wie diese E-Mail-Benachrichtigungen in den Index von Google gelangen konnten. Bis das geklärt ist, könnte man sicherheitshalber auf sämtliche E-Mail-Benachrichtigungen von Facebook verzichten.

Die Auto-Login-Funktion wurde von Facebook zwar sicherheitshalber deaktiviert, aber die E-Mail-Adressen können wahrscheinlich immer noch eingesehen werden, wenn die Links in den Googleindex geraten. Aber auch dort scheint sich schon was getan zu haben, denn die ursprüngliche Suchanfrage liefert aktuell keine Ergebnisse mehr. Warten wir also auf die weitere Aufklärung dieser Lücke...

Newsletter

Bleibe immer up-to-date. Sichere dir deinen Wissensvorsprung!

Vorheriger Artikel Zurück zur Startseite Nächster Artikel
6 Antworten
  1. von david am 02.11.2012 (11:55 Uhr)

    Schuldfrage nicht geklärt? Also ich finde so ein Feature schon derart risikobehaftet, dass es für mich ein Unding ist. Lieber logge ich mich mit meinem Passwort ein.

    Antworten Teilen
  2. von Kau-Boy am 02.11.2012 (12:27 Uhr)

    Die Aussage von Facebook, dass nur öffentlich zugängliche Links im Index landen zeugt gerade zu von totaler Unkenntnis. Die haben wohl noch nie etwas von der Google-Toolbar oder den diversen SEO-Tools gehört. Damit landen auch von unserer Seite häufiger mal Backend-Links im Index, die so bestimmt niemals öffentlich sind.

    Aber E-Mail-Adressen in Klartext in einen Link zu codieren, das ist ja schon grob fahrlässig!

    Antworten Teilen
  3. von Dominik am 02.11.2012 (12:34 Uhr)

    Ohman, mehr fällt mir dazu nicht ein.
    BUUUUUH!

    Antworten Teilen
  4. von sky light am 02.11.2012 (22:23 Uhr)

    klingt gespenstig. Fb luecke und die datenkrake. Und der user schaut in die roehre

    Antworten Teilen
  5. von Slin_ronsor am 03.11.2012 (20:16 Uhr)

    Ab zu Diaspora*, dem dezentralen open source socialnetwork!

    Link mit den größten Servern:
    http://podupti.me/

    Antworten Teilen
  6. von Kay am 06.11.2012 (13:09 Uhr)

    Mich wundert wirklich wie viele Probleme Facebook mit Sicherheitslücken hat. Wenn ich mal zurück denke, es gab mal eine Zeit in der alle Bilder sichbar waren, egal ob öffentlich oder nicht. Ich denke gerade Facebook, die auch oft wegen Datenschutz in der kritik stehen, sollten besonders gut auf Sicherheitslücken achten.

    Antworten Teilen
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema Facebook
10 Methoden, mit denen Hacker dein Facebook-Konto übernehmen – und wie du dich schützen kannst [Infografik]
10 Methoden, mit denen Hacker dein Facebook-Konto übernehmen – und wie du dich schützen kannst [Infografik]

Wurde dein Facebook-Konto schon mal gehackt? Dann ist das mit ziemlicher Sicherheit über eine dieser Methoden passiert. » weiterlesen

Pokémon Go: Stecken Hacker hinter den Serverproblemen?
Pokémon Go: Stecken Hacker hinter den Serverproblemen?

Am Samstags klagten Spieler aus ganz Europa und den USA über Serverprobleme beim Smartphone-Spiel Pokémon Go. Eine Hackergruppe will verantwortlich sein. » weiterlesen

Ex-Facebook-Mitarbeiter: So blies Mark Zuckerberg zum Kampf gegen Google+
Ex-Facebook-Mitarbeiter: So blies Mark Zuckerberg zum Kampf gegen Google+

Der ehemalige Facebook-Mitarbeiter Antonio García Martínez beschreibt in seinem neuen Buch unter anderem Mark Zuckerbergs Kampf gegen den Social-Network-Rivalen Google+. Sein Fazit: „Das war der … » weiterlesen

Alle Hefte Jetzt abonnieren – für nur 35 €

Kennst Du schon unser t3n Magazin?