bedeckt München 26°

Nutzerdaten auslesbar:Facebook: Über Jahre hinweg Datenleck

Hätten unbefugte Dritte seit Jahren theoretisch sensible Informationen von Facebook-Nutzern auslesen können? Das Unternehmen relativiert - doch die Lücke wirft ein grelles Schlaglicht auf das Sicherheitsgebaren des Netzwerks.

An Meldungen über Datenpannen bei Firmen haben wir uns bereits gewöhnt. Wenn sie jedoch bei einem Unternehmen wie Facebook passieren, das 600 Millionen Mitgliedern weltweit eine Plattform bietet, werden selbst abgestumpfte Zeitgenossen hellhörig.

A page from the Facebook website is seen in Singapore

Bildschirm mit Facebook-Seite: Theoretisch Zugriff auf Bilder, Chats und Profildaten.

(Foto: REUTERS)

Von einer solchen Panne berichtet nun die IT-Sicherheitsfirma Symantec auf ihrem Blog: Offenbar konnten unbefugte Dritte über Jahre hinweg persönliche Daten von Facebook-Nutzern auslesen - theoretisch zumindest.

Das Sicherheitsleck, erklärt Nishant Doshi von Symantec in seinem Beitrag, findet sich an der Schnittstelle zwischen den Facebook-Profilen und den Programmen auf der Seite, den sogenannten Facebook Apps.

Diese Miniprogramme, zu denen zum Beispiel das beliebte Spiel Farmville gehört, verbinden sich mit dem Konto der Nutzer, sobald diese dem zustimmen. Dafür müssen Facebook-Mitglieder den Zugriff auf verschiedene Daten wie E-Mail-Adresse, Kontakte oder die eigene Pinnwand erlauben.

Symantec bezeichnet diese vergebenen "access tokens" als Ersatzschlüssel für Teile des Profils. Diese Ersatzschlüssel übertrug Facebook allerdings offenbar unabsichtlich auch Werbekunden - und das seit Einführung der Miniprogramme im Jahr 2007.

Eine Lücke, die unbemerkt blieb

Damit, so Symantec, hätten diese theoretisch auch Zugriff auf die Profile, Bilder und Chats eines Nutzers erhalten können. Bis zum April hätten etwa 100.000 Apps solche Zugriffsrechte erhalten; täglich installieren Facebook-Mitglieder laut Symantec etwa 20 Millionen der Miniprogramme.

Zwar nutzt Facebook inzwischen ein sichereres Identifizierungsverfahren, die alten Verfahren, unter denen der Fehler auftritt, waren jedoch bislang weiter zugelassen.

Nutzer müssen aber derzeit nicht beunruhigt sein, persönlicher Daten verlustig gegangen zu sein. "Glücklicherweise dürften sich die Drittanbieter dieser Möglichkeit, auf Informationen zuzugreifen, überhaupt nicht bewusst gewesen sein", folgern die IT-Sicherheitsexperten im Blogeintrag. Ein Schaden sei deshalb nicht entstanden. Sie raten beunruhigten Nutzern dennoch, das Passwort ihres Facebook-Kontos zu ändern.

Facebook in Zahlen

Ein Netzwerk dominiert die Internet-Welt