Werbepartner konnten über eine alte API die Nutzerdaten der über 500 Millionen Mitglieder auslesen, erklärte Symantec. Aber nicht nur auf Fotos und andere Inhalte konnte zugegriffen werden, selbst Nachrichten hätten im Namen von Nutzern darüber verschickt werden können.
Laut Symantec ließen Iframe-Applikationen in einigen Sessions Zugangstokens offen, auf die Facebook-Partner wie Werbekunden oder spezielle Analyseanbieter Zugriff hatten. Die IT-Sicherheitsfirma geht davon aus, dass Ende April 2011 ungefähr 100.000 Applikationen solche Tokens hinterließen. Mit denen können Applikationen auf Nutzerdaten zugreifen, je nach Zustimmunsggrad des Nutzers, welche Rechte der jeweiligen Applikation bei deren Installation eingeräumt wurde.
Das ganze basiert auf einer alten Authentifizierungs-API, die mit dem neuen Verfahren OAuth 2.0 abgelöst wurde. Werden bei den alten APIs spezifische Parameter gesetzt, dann schickt das Soziale Netzwerk das passende Zugangstoken mit jeder Anfrage, wodurch in der Folge Dritte darauf Zugriff erhalten.
Facebook hat den Fehler bestätigt und in Zusammenarbeit mit Symantec mittlerweile korrigiert. Es sollen keine Daten unbefugt an Dritte übermittelt worden sein. Facebook kündigte an, die alten APIs zu deaktivieren und ab 1. September 2011 nur noch eine Authentifizierung per OAuth 2.0 zuzulassen.
Artikel per E-Mail verschicken
Schlagwörter: Datenschutz, facebook