Sicherheit

Facebook-Lücke erlaubte Löschen fremder Fotos

Facebook hat eine Sicherheitslücke gestopft, die es erlaubte, beliebige Fotos zu löschen. Der Entdecker erhält 12.500 US-Dollar.

Der Sicherheitsexperte Laxman Muthiyah hat in Facebook eine schwerwiegende Sicherheitslücke entdeckt, die es Nutzern erlaubte, beliebige Fotos im sozialen Netzwerk zu löschen. Er informierte Facebook und die Lücke wurde schnell nach dem Fund geschlossen.

Die Lücke steckte laut Muthiyah in der Graph-API, die unter anderem den Lese- und Schreibzugriff auf Nutzer-Inhalte regelt. Mit einem Trick gelang es Muthiyah die API auch zum Löschen von Fotos und Foto-Alben zu missbrauchen. In einem Youtube-Video demonstriert er die Funktionsweise der Lücke.

Muthiyah hat seinen Fund nun veröffentlicht, nachdem Facebook die Sicherheitslücke behoben hat. Dabei reagierte Facebook offenbar äußerst schnell. Die Lücke meldete er Anfang der Woche an Facebook. Bereits am Dienstag kündigte ihm Facebook eine umfassende Untersuchung an. Am selben Tag wurde die Lücke dann auch vom Facebook Security Team geschlossen. Dafür waren nur vier Codezeilen notwendig. Der Entdecker erhielt eine Mitteilung über die Behebung der Lücke von Facebook. In der Mitteilung wurde ihm auch eine Bug-Prämie in Höhe von 12.500 US-Dollar zugesprochen.

Laxman Muthiyah entdeckte nicht zum ersten Mal eine Sicherheitslücke auf Facebook. Auf dieser Facebook-Seite dankte ihm Facebook bereits 2014. Auf der betreffenden Seite sagt Facebook den Entdeckern von Sicherheitslücken "Danke" im "Namen von über eine Milliarde Nutzern (...) für ihre verantwortungsvollen Offenlegungen." (PC Welt/mje)