Sicherheitslücke von Facebook behoben
Ein Sicherheitsforscher versuchte, sich mit einem falschen Passwort, aber richtiger Mailadresse anzumelden, Facebook spuckte daraufhin seinen richtigen Namen mit dem Profilbild aus.
Anscheinend sorgte eine bereits behobene Sicherheitslücke im Anmeldesystem von Facebook dafür, dass man das soziale Netzwerk als Verifizierungsstelle für Mailadressen benutzen konnte. Durch diesen Bug könnten auch Realnamen der Benutzer und Profilbilder eingesammelt worden sein. In der Security-Mailingliste Full Disclosure wies Atul Agarwal von Secfence Technologies auf ein merkwürdiges Verhalten von Facebook hin, das er selbst nicht klar als Bug oder Feature einordnen konnte. Der Sicherheitsforscher versuchte, sich mit einem falschen Passwort, aber richtiger Mailadresse anzumelden, Facebook spuckte daraufhin seinen richtigen Namen mit dem Profilbild aus. Weitere Versuche zeigten, es lag nicht an Browsercache oder irgendwelchen Cookies.
Die Daten von Facebook-Usern wurden immer ausgegeben, wenn man eine genutzte Mailadresse eingab. Redakteur Sam Diaz von ZDnet USA fand heraus, es genügte eine Mailadresse, die irgendwo auf den Facebook-Seiten eines Mitgliedes vorkommt. Die Adresse, die zur Registrierung genutzt wurde, musste dabei gar nicht mal bekannt sein. So könnten Spammer erfundene Mailadressen ausprobieren, aus einer Kombination von Name und Firmenname. Mit 500 Millionen Nutzern wäre Facebook damit das größte Nachschlagewerk für Mailadressen. Realnamen sollen in der Spamszene teuerer gehandelt werden, als nur die Mailadresse selbst. Durch ein reales Bild der Person könnte der Preis sogar noch steigen.
Ein Sprecher von Facebook, gab gegenüber PC Advisor an, dieses Verhalten sei erst kürzlich durch einen Bug in einer neuen Softwareversion aufgetreten, wodurch man es vorher auch nicht bemerken konnte. Normalerweise sollte Facebook falsche Logins nicht durch Preisgabe des zugehörigen Namens und Profilbildes beantworten. Facebook soll die Reparatur bereits vorgenommen haben. Ob die Sicherheitslücke ausgenutzt wurde und in welchem Umfang, ist bisher nicht bekannt.
- Adobe-Schriftarten bei Typekit
- Sony kündigt neue PS3-Modelle an
- Kinect kommt am 10. November
- Google veröffentlicht erste Version von Chrome 7
- Sharkoon-Headsets für XBox, PS3 und PC
- Gerüchteküche: Radeon-Karten bald ohne ATI-Logo?
- Sparkle verpasst der GTX 480 bessere Lüfter
- Alternate sucht das A-Team
- Touchscreen-Unterstützung für Ubuntu
- [IFA] MSI FX600: Notebooks mit Core-i und Optimus
- SanDisk stellt briefmarkengroße 64-GB-SSD vor
- Micron und Intel drücken NAND Flash auf 25 nm
- HTC-Tablet mit Chrome OS am 26. November?
- Microsoft arbeitet an einem neuen Flight Simulator
- mySN XMG U700: Gamer mit 6 Kernen und SLI
- Yahoo steigt auf Suchdienst Bing um
- Kostenlose Lesesoftware für Google Books
- Intel kauft Antiviren-Spezialist McAfee
