Passwort ändern: Facebook schließt Datenleck

Martin Schindler,

Wer Werbung und Anwendungen in seinem Account zulässt, hat bisher einigen Anwendungen auch dauerhaft Zugriff auf Nutzerdaten gewährt. Jetzt hat Facebook dieses Leck behoben. Dennoch empfiehlt es sich, das Passwort auf Facebook zu ändern.

Zugriff gewährt: Anwendungen nutzen bestimmte Informationen und greifen über kurzlebige Tokens zu. Quelle: CNET
Zugriff gewährt: Anwendungen nutzen bestimmte Informationen und greifen über kurzlebige Tokens zu. Quelle: CNET

Wer auf Facebook in seinem Account eine Anwendung zulässt, übergibt einen so genannten Token an die Anwendung. Das ist sozusagen ein Ersatzschlüssel, über den die Anwendung bestimmte Informationen aus dem Account gewinnt. Unter bestimmten Umständen jedoch bleiben diese Token gültig und können auch an andere weitergeleitet werden.

Das Sicherheitsunternehmen Symantec hat den Fehler jetzt veröffentlicht, nachdem Facebook über dieses Datenleck informiert worden war. “Facebook hat uns jetzt mitgeteilt, dass sie diesen Fehler behoben haben, um zu verhindern, dass diese Tokens in falsche Hände gelangen”, so Nischant Doshi von Symantec in einem Blog.

“Wir schätzen, dass mit April 2011 rund 100.000 Applikationen diesen Datenverlust ermöglicht haben. Wir vermuten, dass über die Jahre mehrere Hunderttausend Anwendungen unbeabsichtigt Access-Tokens an Dritte weitergegeben haben”, so Doshi weiter. Unklar ist, wie viele Nutzer von diesem Problem betroffen sind.

Ein Facebook-Sprecher erklärte, dass das Unternehmen bislang keine Beweise habe, dass private Informationen von Nutzern mit nicht autorisierten Gruppen geteilt wurden und dass vertragliche Bestimmungen die Gewinnung und Nutzung von Account-Daten reglementieren.

Über diese Tokens kann eine Anwendung sozusagen im Namen des Nutzers bestimmte Aktionen durchführen und kann auch auf das Profil des Nutzers zugreifen. Normalerweise sind diese Tokens nur sehr kurze Zeit gültig. Aber die Anwendung kann auch Tokens für den Offline-Access nachfragen. Dann gelten die Tokens so lange, bis der Nutzer das Passwort ändert. Durch diese Offline-Tokens jedoch kann die betreffende Anwendung auch dann auf die Nutzerdaten zugreifen, wenn der Nutzer gar nicht eingeloggt ist.

Zu dem Fehler kam es, wenn der Entwickler einer Anwendung statt des neuen OAuth 2.0 Data-Sharing-Protocol eine ältere Version der Facebook-API verwendete. Über bestimmte Parameter im Code konnten diese Tokens dann über eine URL an den Application-Host geschickt werden. Von dem Host aus konnte der Token dann an Werbetreibenden und an analytische Plattformen wie iFrame weitergeleitet werden.

“Wir haben leider keine Möglichkeit, einzuschätzen, wie viele Access-Tokens inzwischen seit der Einführung der Facebook-Apps im Jahr 2007 geleakt sind”, erklärte Doshi in seinem Blog. “Wir fürchten aber, dass nach wie vor viele dieser Tokens in Log-Files auf den Servern von Dritten verfügbar sind und noch immer von den Werbetreibenden genutzt werden.” Eine gute Möglichkeit sei es, das Facebook-Passwort zu ändern, so dass kein Zugriff über die Token mehr möglich ist.

Facebook will jetzt die Sicherheit des Authentifizierungsprozesses weiter verbessern und auch die Zugriffe für Anwendungen seien inzwischen beschränkt worden, so das Unternehmen in einem Entwickler-Blog.

Der Sicherheitsspezialist Joey Tyson erklärte ebenfalls in einem Blog, dass das Problem nicht so umfassend ist, wie es vielleicht zunächst den Anschein habe. “Der Fehler wurde sicherlich nicht so häufig ausgenutzt, wie vielleicht manche Menschen fürchten.”