• Home
  • Seit 1998 unabhängiger IT- und Tech Kanal, Forum mit über 1 Million registrierter Usern
• Board
  • Seit 1998 unabhängiger IT- und Tech Kanal, Forum mit über 1 Million registrierter Usern
• Nachrichten
  • Topnews
  • Interviews
  • Glossen
  • Reportagen
  • Kurioses
  • RSS-Feed
  • Twitter
  • Newsletter
• NewsPresso
  • Newsübersicht
  • Regeln
  • Highscore
  • RSS-Feed
• Internet
  • Denkanstösse
  • Wissenswertes
  • Filesharing
  • Tools
• IT-Sicherheit
  • Rechtliches
  • Anonymität
  • Cybercrime / Cyberwar
  • Verschlüsselung
  • Netzsperren
  • IT-Forensik
  • Linux-Server
  • Passwörter
  • Spam
  • WLAN
• Unterhaltung
  • Bild und Film
  • Ton und Musik
  • Mobile Endgeräte
  • PC und N-books
  • Internet
  • Spiele
  • Roboter
• Ansichtssache
  • Kommentiere und bewerte die Fundstücke.
• Chat
  • Anleitungen
  • Webchat
  • Channelstats
  • Zitate

Bug in der Facebook-Benutzeranmeldung gab Daten preis - Update

Dieses soziale Netzwerk kommt derzeit nicht zur Ruhe. Zum dritten Mal in Folge treten Fehler beim Login-Vorgang auf. Heute weist das britische IT-Portal "The Register" auf den neuesten Bug hin, der auch die deutschen Anwender betrifft.

Ein Mitarbeiter der Sicherheitsfirma Secfence Technologies machte gestern auf eine dubiose Sicherheitslücke im Anmeldesystem des sozialen Netzwerkes Facebook aufmerksam. Ohne die Eingabe irgendwelcher Passwörter konnte man kinderleicht herausfinden, welche E-Mail-Adresse mit welchem Benutzerprofil verknüpft ist. Am Mittwoch machte Atul Agarwal, Mitarbeiter der Sicherheitsfirma Secfence Technologies im Internet auf eine gefährliche Eigenart der Webseite des sozialen Netzwerkes Facebook aufmerksam. In der Security-Mailingliste Full Disclosure schrieb er, dass Facebook scheinbar durch einen Bug im Anmeldesystem von jedermann als nützliches Spammer -Werkzeug genutzt werden könnte.

Tippte man bei der Verifizierung eine korrekte E-Mail-Adresse in Kombination mit einem falschen Passwort ein, so zeigte die Webseite trotz der Falscheingaben den zugehörigen Vor- und Nachnamen sowie das Benutzerbild der Person an, die mit der betreffenden E-Mail-Adresse registriert ist. Die Privatsphäreneinstellungen des Benutzers spielten dabei keine Rolle. Zunächst ging Agarwal davon aus, dass Facebook diese Daten nur preisgibt, sofern noch entsprechende Cookies im Browser hinterlegt sind. Weitere Experimente zeigten jedoch Gegenteiliges. Da die Webseite die Daten so problemlos preisgegeben hat, war sich der Sicherheitstechniker nicht einmal sicher, ob es sich vielleicht um ein Feature handelte und nicht um einen Bug.

Dieser Fehler im Facebooksystem kann allerdings verheerende Folgen für die dort registrierten Nutzer haben. Da Onlinebetrüger die Mailadressen problemlos mit den Klarnamen der Nutzer verknüpfen können, könnten Phishingangriffe wesentlich realistischer ausfallen. Facebook könnte so für Cyberkriminelle durch seine 500 Millionen Nutzer zum größten Nachschlagewerk für E-Mails werden.

Auf Nachfrage von PC Advisor versicherte ein Sprecher des Unternehmens allerdings, dass der Bug erst seit kurzem vorhanden wäre und man bereits an dessen Beseitigung arbeite. Mit Erfolg, wie es scheint. Mittlerweile spuckt das Anmeldefenster keine Daten mehr an unberechtigte Personen aus.

Update:
Ganz offensichtlich hätte das Facebookteam sich bei der Beseitigung des Fehlers etwas mehr Mühe geben sollen. Im Loginfenster ist das Problem zwar gelöst, allerdings ist in der „Passwort vergessen“ Funktion nun der gleiche Bug aufgetaucht. Man muss nur die E-Mail-Adresse einer registrierten Person angeben und ein Captcha ausfüllen und schon spuckt Facebook den Klarnamen des dazugehörigen Nutzers inklusive Benutzerbild aus. Da die Lücke bis dato noch nicht behoben wurde, kann sich jeder selbst ein Bild von der Sache machen, indem er einfach auf „Passwort vergessen?“ auf der Homepage von Facebook klickt.
[ Update via Priv8 - thx! ]

Update 2 (von Ghandy)

Wie The Register heute berichtet, so besteht der Bug von Facebook noch immer - wenn auch in einer anderen Ausprägung. Wird eine korrekte E-Mail-Adresse zusammen mit einem falschen Passwort eingegeben, erfolgt eine andere Textausgabe, als wenn die E-Mail bei Facebook überhaupt nicht registriert ist. Bei unserem Test geben wir arno@nymous.com und ein fiktives Passwort ein. Facebook reagiert darauf mit der Antwort: "Falsche E-Mail-Adresse. Die von dir angegebene E-Mail gehört zu keinem Konto." Bei einem falschen Passwort zu einer registrierten Adresse bekamen wir im Unterschied dazu die Fehlermeldung: "Das von dir eingegebene Passwort ist falsch." In der Konsequenz kann jeder von außen überprüfen, ob eine E-Mail-Adresse bei Facebook registriert ist oder nicht.

Auch wenn die neue Sicherheitslücke weit weniger Informationen als zuvor preisgibt, so verrät das soziale Netzwerk dennoch weiterhin, wer bei ihnen angemeldet ist. Da man die Abfrage automatisieren kann, wird Facebook den Login sicher bald erneut ändern. Hoffentlich erhält man dann keinerlei Informationen mehr, welcher Teil der eingegebenen Daten falsch ist.

Grafik: Heny Han - cc-by-nd 3.0

Bild-Quellen: welt henry han

Text-Quellen: seclists.org

Julian Wolf am Mittwoch, 18.08.2010 22:14 Uhr

Tags: facebook