News

Symantec: Datenabfluss über neues Facebook-Leck

Wie das Sicherheitsunternehmen Symantec in einem Blog-Eintrag berichtet, erhalten Dritte über Facebook-Apps unter bestimmten Umständen Zugriff auf geschützte Daten in Nutzerprofilen.

11.05.2011, 13:01 Uhr
Facebook © Facebook

Facebook und Datenschutz sind zwei Pole, die sich genuin gegenseitig abstoßen. Während das soziale Netzwerk seine Attraktivität einem Mix aus Selbstdarstellung, Voyeurismus und Kontaktfreude verdankt, sehen Datenschützer den oft laxen Umgang der Nutzer mit persönlichen oder intimen Informationen mit Grausen. Doch die Warnungen verhallen häufig ungehört – zu abstrakt und komplex wirkt die Thematik im Vergleich zur freundlich-bunten Facebook-Oberfläche, die dem Einzelnen eine Vielzahl an Diensten zur Verfügung stellt – scheinbar kostenfrei. Ein durch das Sicherheitsunternehmen Symantec entdecktes Datenleck verdeutlicht nun allerdings erneut ganz praktisch, wie die Nutzer dennoch zahlen und warum persönliche Informationen als Währung des Internetzeitalters bezeichnet werden.

Geschützte Profildaten prinzipiell abrufbar

So sagt nicht nur jeder Klick auf den mittlerweile inflationär anzutreffenden "Gefällt mir"-Knopf mehr aus, als auf den ersten Blick ersichtlich; auch die vielen Facebook-Apps ermöglichen ihren Anbietern, zielgerichtet bestimmte Daten zu erfassen. Darüber hinaus scheint das soziale Netzwerk an vielen Stellen für Datendiebe sprichwörtlich offen wie ein Scheunentor. Insbesondere die App-Schnittstelle sorgte dabei bereits in der Vergangenheit für Schlagzeilen. Erst im Oktober letzten Jahres berichtete beispielsweise das "Wall Street Journal" über ein Konglomerat aus App-Anbietern, Werbefirmen und Datensammlern, die Zugriff auf die sogenannte persönliche Facebook-ID erhielten und Nutzerdaten anschließend systematisch zu Verkaufszwecken erfassten.

Weitaus gravierender ist im Vergleich dazu der jüngste, von Facebook bereits bestätigte, Fall. Wie Symantec in einem Blog-Eintrag berichtet, enthalte die Plattform-Software seit Einführung der App-Funktion vor vier Jahren eine kritische Sicherheitslücke, die es Dritten prinzipiell ermöglichen soll, eine große Anzahl geschützter Profildaten auszulesen. Ob das Schlupfloch bereits einschlägig bekannt ist und aktiv ausgenutzt wird, bleibt derweil unklar. Symantec zufolge sei es wenig wahrscheinlich, dass die Mehrheit der App-Anbieter oder Dritte Kenntnis davon hatten. Theoretisch seien aber über 100.000 Applikationen betroffen.

Facebook-Passwort sollte geändert werden

Ihre Ursache hat die Sicherheitslücke in der ungeschützten Übertragung bestimmter Schlüsselcodes, sogenannter "Access Tokens", durch die Applikationen temporär einen beschränkten Zugriff auf Teile des Nutzerprofils und seine Daten erhalten - etwa um Kommentare auslesen zu können oder die Freundesliste einzusehen. Während der Installation muss der Nutzer diese Aktionen jeweils bestätigen. In der Regel sind die dafür vergebenen "Access Tokens" nur eine bestimmte Zeit lang gültig und laufen automatisch ab; Applikationen können aber auch Zugangsberechtigungen anfordern, die generell solange gültig bleiben, bis eine Änderung des Profil-Passwortes erfolgt. Durch den unverschlüsselten Transfer der "Access Tokens" sei es dabei möglich, dass mit der Applikation verbundene Dritte wie Anzeigenanbieter diesen auslesen können und ihrerseits Zugriff auf die abrufbaren Daten erhalten. Dies geschehe zudem mitunter automatisch, da einige Apps bei Aufruf dynamisch Werbeinhalte aus dem Internet nachladen und dabei jeweils eine sogenannte Referrer-Mitteilung (Verweis) hinterlassen. Diese gängige Datenübergabe soll den Anzeigenlieferant unter anderem darüber informieren, von welcher externen Internetadresse ein Abruf erfolgte und dient normalerweise vor allem statistischen Zwecken.

Um sich vor ungewollten Einblicken zu schützen, empfiehlt Symantec daher allen Facebook-Nutzern, ihr Profil-Passwort umgehend zu ändern. Dies habe die gleiche Wirkung, als würde ein neues Türschloss eingebaut – verlorene Schlüssel passen dann nicht mehr. Facebook selbst plant, die Schwachstelle ab Juli stufenweise zu schließen. Neue Apps müssen zudem bereits zwingend auf einem Verfahren basieren, bei dem Zugriffscodes generell verschlüsselt übertragen werden. Genauere Details erläutert der hauseigene Entwicklerblog.

(Christian Wolf)

Kommentieren Forum

Dieser Artikel wurde noch nicht kommentiert. Schreiben Sie uns Ihre Meinung!

Zum Seitenanfang