Facebook Login: Hacker kapern Nutzerdaten

Hacker haben offenbar eine Möglichkeit gefunden, per Facebook Login Daten von Nutzern des Social Network zu stehlen. Eine entsprechende Untersuchung von Sicherheitsforschern hat das Unternehmen auf Nachfrage von TechCrunch bestätigt. Demnach nutzen die Datendiebe auf JavaScript basierende Tracker von Drittanbietern, die sie in Websites einbetten, die Facebook Login unterstützen.


Unter anderem haben Unbefugte so Zugriff auf Informationen wie Namen, E-Mail-Adressen, Altersgruppe, Geschlecht, Sprache und Profilfoto. Der Umfang der Daten ist davon abhängig, welche Details ein Nutzer mit der Seite teilt, die Facebooks Anmeldedienst integriert.

Unklar ist offenbar, was die Hintermänner mit den Daten machen. Die Anbieter der Tracker, darunter Tealium, AudienceStream, Lytics und ProPS bieten auf Basis solcher Daten Dienste zur Monetisierung von Inhalte an.

Entdeckt wurden die schädlichen Skripte von Forschern von Freedom To Tinker des Center for Information Technology Policy an der Princeton University. Sie fanden sich demnach in 434 der am häufigsten Besuchten Websites weltweit. Unter anderem sind die Freelancer-Seite Fiverr.com, die Seite des Cloud-Datenbank-Anbieters MongoDB und auch das Musikportal BandsInTown betroffen.

MongoDB teilte inzwischen mit, man habe das Skript entfernt und auch dessen Quelle identifiziert. Von der Existenz des Skripts habe man indes nichts gewusst. Auch BandsInTown beteuert in einer Stellungnahme, dass es keine Daten unerlaubt an Dritte weitergebe. Zudem sei die mögliche Schwachstelle in einem Skript geschlossen worden.

Steven Englehardt von Freedom To Tinker weist darauf hin, dass es nicht ausreichend ist, der Website zu vertrauen, die Facebook Login anbietet. “Wenn ein Nutzer einer Seite den Zugriff sein Social-Media-Profil gewährt, vertraut er nicht nur der Seite, sondern auch allen Dritten, die auf der Seite eingebettet sind.”

Facebook wirft der Forscher vor, nicht genug getan zu haben, um diese Exploits zu finden. Laut TechCrunch verbessert Facebook derzeit die Kontrollen seiner Programmierschnittstellen – vor allem als Reaktion auf den Datenskandal um Cambridge Analytica und die Daten-App des Forschers Aleksandr Kogan.

Facebook bietet seinen Anmeldedienst Login nicht nur für Webseiten an, sondern auch für iOS und Android. Das Unternehmen verspricht Entwicklern, dass sich deren Nutzer “sicher, schnell und einfach” anmelden können. Ob die Änderungen, die Facebook im Zusammenhang mit der Datenschutzgrundverordnung angekündigt hat, das Datenleck schließen, ist nicht bekannt.

Tipp: Sind Sie ein Facebook-Experte? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Ausgewähltes Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Redaktion

Recent Posts

Cloud Zugang zu erstem photonischem Chip für KI-Inference

Energieeffiziente Native Processing Unit mit Photonik-Chip inside soll die CO2-Bilanz von Rechenzentren der nächsten Generation…

4 Stunden ago

Deutschland: Quo vadis KI?

Studie von BearingPoint zeigt, dass 99 Prozent der Führungskräfte erwarten, dass KI im laufenden Jahrzehnt…

1 Tag ago

Was hat ein Segelboot mit Cybersecurity zu tun?

IMOCAs bestehen aus vielen verschiedenen vernetzten Komponenten und benötigen eine effiziente Cyberabwehr.

2 Tagen ago

CosmicBeetle-Gruppe verbreitet Ransomware

Forscher von ESET haben entdeckt, dass die Gruppe Ransomware ScRansom einsetzt.

3 Tagen ago

Jetzt zeigt sich, welches Potenzial im Metaverse steckt

Das Metaverse – vergessener Hype oder doch schon einsatzfähig? Wo die Industrie bereits auf Metaverse-Lösungen…

3 Tagen ago

Sicherheitsaspekte im Online-Gaming

Sowohl „just for fun“ als auch als ernster Liga-Wettkampf oder als Glücksspiel mit echtem Geld…

5 Tagen ago