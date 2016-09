Eine Schwachstelle in Facebooks Business Manager gefährdete die Sicherheit von unzähligen Facebook-Seiten. Ein Sicherheitsforscher hat sie entdeckt und zeigt, wo das Problem lag.

Sicherheitsforscher hat einen „Major Bug“ auf Facebook entdeckt – und kräftig abgesahnt

Wer Facebook auf eine Schwachstelle hinweist, kann auf eine Belohnung hoffen. Wenn das Problem vom Unternehmen sogar als „Major Bug“ eingestuft wird, fällt sie besonders hoch aus. Der Sicherheitsforscher Arun Sureshkumar hat einen dieser groben Patzer entdeckt und 16.000 US-Dollar eingefahren. Die von Sureshkumar entdeckte Schwachstelle gefährdete die Sicherheit unzähliger Facebook-Seiten und befand sich im Business Manager des Unternehmens.

Mit vergleichsweise wenig Aufwand soll der Entwickler in der Lage gewesen sein, mit dem Kampagnen-Dienst verwaltete Seiten zu kapern. Um in den Facebook Business Manager eines Unternehmens einzusteigen, machte sich Sureshkumar eine unzureichende Überprüfung zunutze, um selbst generierte Werte unterzujubeln. In einem Video demonstriert er, wie er vorging.

Facebook benötigte neun Tage, um die Lücke zu schließen

Arun Sureshkumar hat einen „Major Bug“ auf Facebook gefunden – und 16.000 US-Dollar erhalten. (Screenshot: arunsureshkumar.me)

Arun Sureshkumar schreibt in einem Blog-Post, dass er Facebook am 29. August über die Schwachstelle informiert habe. Am 6. September versicherte ein Facebook-Mitarbeiter, dass die Schwachstelle behoben sei – was Sureshkumar noch am selben Tag bestätigte. Beim Schließen der Lücke ist Facebook nach eigenen Angaben noch auf einen weiteren Fehler aufmerksam geworden. Der Sicherheitsforscher erhielt auch deswegen eine höhere Prämie als normalerweise im Bug-Bounty-Programm vorgesehen.