Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Gadgets & Lifestyle

Symantec findet Datenleck: „Ändere Dein Facebook-Passwort, jetzt!“

    Symantec findet Datenleck: „Ändere Dein Facebook-Passwort, jetzt!“

Haben Facebooks Werbekunden und andere Dritte, etwa Statistiker, jahrelang Zugriff auf die persönlichen Daten von Millionen Facebook-Nutzern nehmen können? Ja, sagt das Sicherheitsunternehmen Symantec, das sich sicherlich nicht mit gezielter Panikmache einen Namen gemacht hat und von daher zunächst vertrauenswürdig in der Aussage erscheint.

Was ist dran an der von Symantec schon im April an Facebook gemeldeten Sicherheitslücke?

Kernpunkt des Problems ist der Umgang von Facebook-Applikationen mit den Zugangsdaten zu den Nutzerkonten, für die sie autorisiert wurden. Wenig überraschend ist es hoffentlich auch für den durchschnittlichen Facebook-Nutzer zu erfahren, dass Applikationen, denen man eine Genehmigung erteilt, Zugriff auf bestimmte persönliche Daten erhalten. Im Falle des Facebook-Spiels CityVille etwa sieht das dann so aus:

Facebook: Aktuelle Genehmigungen sind nicht vom entdeckten Datenleck betroffen!

In jedem Einzelfall sollte der Nutzer genau prüfen, welche Zugriffsgenehmigung die betreffende Anwendung anfordert. Dabei sollte man stets kritisch in Frage stellen, ob man nachvollziehen kann, warum ausgerechnet die angeforderten Daten für die Applikation unbedingt erforderlich sein sollten. Im Zweifel sollte man die Finger von einer Applikation lassen, auch wenn drölfzig Freunde Hilfe beim Blumen gießen oder Mafiosi erschießen anfordern.

Hat man nun nach sorgfältiger Abwägung der Sinnhaftigkeit entschieden, die Genehmigung zu erteilen, erhält die Facebook-Applikation ein sogenanntes Access Token, mit dem sie fortan auf die genehmigten Daten zugreifen kann. Wer sich tiefergehend über Access Tokens und deren Generierung über die Facebook-API interessiert, findet bei Facebook eine Dokumentation und bei Frank IT Informationen darüber, wie einfach das gehen kann.

Vereinfacht ausgedrückt wirkt das Access Token nun wie ein Passwort und erteilt dem Inhaber des Tokens Zugriffsrechte auf die Nutzerinformationen. Dass man diesen Token entsprechend vertraulich behandeln sollte, erklärt sich im Grunde von selber.

Ältere Facebook-Applikationen können ältere API-Funktionen nutzen

Laut Symantec mangelt es aber bei einer Größenordnung von knapp 100.000 Applikationen genau an dieser Sorgfalt. Das Problem ist so alt wie Facebook-Applikationen. Mithin könnten in den letzten 4 Jahren Millionen von Nutzerdatensätzen durch die unachtsame Weitergabe von Access Tokens zugänglich gemacht worden sein. Betroffen sind indes nur Applikationen, die bestimmte, von Facebook aktuell nicht mehr unterstützte Technologien einsetzen und autorisiert wurden, bevor Facebook auf OAuth2.0 als Standard für die Zugriffsgenehmigungen umgestiegen ist.

Ziemlich viel Konjunktiv, wird man an irgendeiner Stelle bemerken. Symantec räumt ein, dass es sein kann, dass die unberechtigten Empfänger der Access Tokens, in erster Linie Werbetreibende und die Zunft der Facebook-Statistiker und Analytiker, gar nicht bemerkt haben, solche sensiblen Daten übermittelt zu bekommen. Denn das Token wurde nach der Erstellung von Facebook innerhalb einer URL übermittelt. Werbetreibende und andere Dritte erhalten nun die URL als Teil des Referrers im HTTP-Request quasi versehentlich ebenfalls mitgeteilt. Eine gewisse Expertise, gekoppelt mit einer gewissen Böswilligkeit muss also auf Seiten des Empfängers vorhanden sein, damit dieser erkennt, was er da bekommt und wie er es extrahieren kann.

Nach eigenen Angaben hat sich Facebook mittlerweile des Problems angenommen und eine interne Untersuchung durchgeführt. Danach sei es in keinem Falle zur Weitergabe von persönlichen Nutzerdaten an unautorisierte Dritte gekommen. Fachleute bezweifeln dies vor allem, weil Facebook nicht sagt, wie sie diese Untersuchung angelegt haben und was sie zuverlässig zu dem Schluss kommen lässt, es sei nichts passiert. Auch Facebooks Aussage, dass ein solches Verhalten nicht mit den Nutzungsbedingungen konform ginge, stört im Normalfall nur Leute, die den kategorischen Imperativ in ihren Alltag integriert haben.

Klare Empfehlung: Sofortige Passwortänderung als Prophylaxe

Symantec macht jedenfalls unmissverständlich klar, dass das Ausmaß der weiten Streuung von Access Tokens in den letzten Jahren so groß ist, dass eine unberechtigte Nutzung wahrscheinlich erscheint, jedenfalls aber nicht ausgeschlossen werden kann. Die Sicherheitsexperten bestätigen, dass Facebook das Problem für die Zukunft behoben hat, weisen jedoch darauf hin, dass bereits erteilte Tokens weiterhin Gültigkeit haben können. Diese Lücke kann jeder Facebook-Nutzer recht einfach selber schließen, indem er sein Passwort ändert. Dies führt zur Ungültigkeit aller bislang erteilten Zugriffsschlüssel.

Deshalb: Auch wenn die Problematik nur auf relativ wenige, noch dazu auf alter Technik basierende Apps mit alten Autorisierungsstrukturen beschränkt ist, lautet die Empfehlung ganz klar: „Wenn Du eine Facebook-Applikation nutzt, ändere Dein Facebook-Passwort jetzt!“

Weiterführende Links:

Finde einen Job, den du liebst

4 Reaktionen
phoenigs
phoenigs

@Plum super danke für den TIpp

Antworten
Simon A. Frank

Vielen Dank für den hilfreichen Beitrag (durch den ich auf das Link zu meinem Tool aufmerksam geworden bin) - ich habe diesen schon mehrfach weitergeleitet, da mir ähnliche Fragen zu dieser Thematik in den letzten Tagen häufig gestellt wurden. Nur eins ist nur nochmals zu betonen: Das Ändern des Passworts hilft nur bei (sehr) alten Facebook-Applikationen. Neuere Applikationen nutzen wie auch hier erwähnt OAuth2 und da bringt das Ändern des Passworts nichts, das Token bleibt dadurch weiterhin gültig. Aber das Ändern des Passworts schadet nie und erhöht auf jeden Fall die Sicherheit, löst jedoch nicht alle Probleme mit Apps, die "Datenschutz" nicht so ernst nehmen.

Antworten
tanjahandl
tanjahandl

Die Meldung wundert mich jetzt nicht wahnsinnig - aber der Sicherheitstipp ist sehr gut. Werd ich auf jeden Fall weiterleiten - selber bin ich ja kein großer Applications-Fan.

Antworten
Phillip Plum

Wenn man sein vorheriges Passwort behalten möchte, ändert man sein Passwort zu einem neuen und ändert es dann wieder zurück. Bei meiner Anwendung kam dann ein neuer Token.

Antworten

Melde dich mit deinem t3n-Account an oder fülle die unteren Felder aus.

Abbrechen