Sicherheitsexperten von Symantec haben ein neues Datenleck im sozialen Netzwerk Facebook offengelegt. Über Jahre hätten Werbekunden die Möglichkeit gehabt, private Daten von Nutzern auszuspähen, berichtet der Security-Anbieter. Er betont, dabei handele es sich um ein Versehen von Facebook.
Facebook bestätigte das Leck, durch das die Werbekunden etwa Bilder der User ansehen konnten, im Namen der User sogar Nachrichten posten oder die Chats mitlesen konnten. Offenbar haben bestimmte Facebook Apps sogenannte "access tokens" an Werbekunden und Analyse-Plattformen übermittelt, über die sie auf die Accounts hätten zugreifen können.
Die Gefahr liegt in personalisierten Apps
Ein jeder dieser Schlüssel erlaube den Zugriff auf ein festgelegtes Daten-Set. Prinzip dahinter: Viele Apps bitten bei der Installation um den Zugriff auf bestimmte Daten, damit die App personalisiert werden kann. Daraus generiert sich ein Schlüssel, der am Ende an Werbekunden weitergeleitet wurde.
Facebook gab an, das Leck sei nun gestopft. Auch habe man bei einer ersten Überprüfung keinen Hinweis auf einen Missbrauch gefunden. Die Werbekunden haben demnach keinen Gebrauch von den massenhaft vorliegenden Informationen gemacht. Auch betonte Facebook in einer Mitteilung, Werbekunden sei es vertraglich ausdrücklich verboten, auf private Nutzerdaten zuzugreifen.
Laut Symantec-Schätzungen waren allein im April, als das Leck entdeckt wurde, über 100.000 Apps betroffen. Über die letzten Jahre hinweg dürfte es ein Vielfaches gewesen sein.
Trotz der Maßnahmen von Facebook, das Leck zu stopfen, äußerte Symantec sich weiterhin besorgt. "Wir fürchten, dass viele dieser tokens noch in log files auf den Servern Dritter liegen - oder noch aktiv von Werbekunden verwendet werden."
So können sich Facebook-Nutzer schützen
Einen verlässlichen Schutz gebe es allerdings: ein neues Passwort. "Das Passwort zu ändern bedeutet gleichzeitig, die tokens unwirksam zu machen." Die Schlüssel könnten dann nicht mehr auf den Account zugreifen. "Das ist vergleichbar mit einem neuen Schloss vor dem Facebook-Profil."