An Meldungen über Datenpannen bei Firmen haben wir uns bereits gewöhnt. Wenn sie jedoch bei einem Unternehmen wie Facebook passieren, das 600 Millionen Mitgliedern weltweit eine Plattform bietet, werden selbst abgestumpfte Zeitgenossen hellhörig.
Bildschirm mit Facebook-Seite: Theoretisch Zugriff auf Bilder, Chats und Profildaten.
(Foto: REUTERS)Von einer solchen Panne berichtet nun die IT-Sicherheitsfirma Symantec auf ihrem Blog: Offenbar konnten unbefugte Dritte über Jahre hinweg persönliche Daten von Facebook-Nutzern auslesen - theoretisch zumindest.
Das Sicherheitsleck, erklärt Nishant Doshi von Symantec in seinem Beitrag, findet sich an der Schnittstelle zwischen den Facebook-Profilen und den Programmen auf der Seite, den sogenannten Facebook Apps.
Diese Miniprogramme, zu denen zum Beispiel das beliebte Spiel Farmville gehört, verbinden sich mit dem Konto der Nutzer, sobald diese dem zustimmen. Dafür müssen Facebook-Mitglieder den Zugriff auf verschiedene Daten wie E-Mail-Adresse, Kontakte oder die eigene Pinnwand erlauben.
Symantec bezeichnet diese vergebenen "access tokens" als Ersatzschlüssel für Teile des Profils. Diese Ersatzschlüssel übertrug Facebook allerdings offenbar unabsichtlich auch Werbekunden - und das seit Einführung der Miniprogramme im Jahr 2007.
Eine Lücke, die unbemerkt blieb
Damit, so Symantec, hätten diese theoretisch auch Zugriff auf die Profile, Bilder und Chats eines Nutzers erhalten können. Bis zum April hätten etwa 100.000 Apps solche Zugriffsrechte erhalten; täglich installieren Facebook-Mitglieder laut Symantec etwa 20 Millionen der Miniprogramme.
Zwar nutzt Facebook inzwischen ein sichereres Identifizierungsverfahren, die alten Verfahren, unter denen der Fehler auftritt, waren jedoch bislang weiter zugelassen.
Nutzer müssen aber derzeit nicht beunruhigt sein, persönlicher Daten verlustig gegangen zu sein. "Glücklicherweise dürften sich die Drittanbieter dieser Möglichkeit, auf Informationen zuzugreifen, überhaupt nicht bewusst gewesen sein", folgern die IT-Sicherheitsexperten im Blogeintrag. Ein Schaden sei deshalb nicht entstanden. Sie raten beunruhigten Nutzern dennoch, das Passwort ihres Facebook-Kontos zu ändern.
Nicht die erste Facebook-Lücke
Facebook reagierte sofort, hat die Lücke inzwischen geschlossen und eine Abschaltung der alten Identifizierungsverfahren angekündigt. Da allerdings Sicherheitsprobleme schlecht für den Ruf sind, sah sich das Unternehmen zu einem Widerspruch der Symantec-Schilderungen genötigt. In einer Erklärung ist von "Ungenauigkeiten" die Rede.
Werbekunden und Entwicklern sei es aufgrund der Geschäftsbedingungen überhaupt nicht erlaubt, "sich persönliche Informationen von Facebook-Nutzern auf eine Weise zu beschaffen oder zu verbreiten, die unseren Vorgaben widerspricht". Was nicht erlaubt sei, würde also auch nicht gemacht. Eine eigene Untersuchung habe ebenfalls ergeben, dass die Lücke nicht ausgenutzt worden sei.
Im Oktober 2010 war eine ähnliche Facebook-Lücke publik geworden: Damals gaben Miniprogramme die Nutzer-Identifikationsnummern an Online-Vermarkter weiter. Im Mai 2010 hatten Nutzer aufgrund eines Sicherheitsfehlers kurzzeitig die Chat-Nachrichten von Freunden einsehen können.
Das Unternehmen betont zwar immer wieder, Datenschutz ernst zu nehmen, aber Aussagen von direkt verantwortlichen Mitarbeitern lassen den Schluss zu, dass die IT-Sicherheit mit der ständigen Weiterentwicklung des Systems nicht Schritt halten kann.
So erklärte der Facebook-Sicherheitschef Max Kelly im vergangenen Jahr, sein Team könne niemals alle Lücken stopfen und alle Angriffe im Vorhinein verhindern: "Es wird immer Schwachstellen geben, egal, wie sehr wir uns anstrengen. Und bei dem Versuch, Löcher zu stopfen, produzieren wir auch neue Lücken."