Eine Sicherheitslücke ließ zu, dass man fremde Fotoalben auf Facebook mit einer schnellen Aktion löschen konnte. Eines muss man Facebook lassen: Das Security Team arbeitet offenbar gewissenhaft und zügig, wenn es um von Whitehat-Hackern gemeldete Sicherheitslücken geht. Über die Kooperation mit Geheimdiensten kann man sich streiten, aber dieser Fotolösch-Bug war flotter weg, als man gucken konnte. Wie hat der Hacker das überhaupt angestellt?
In seinem Blog erklärt der findige Laxman Muthiyah, wie er über die Facebook Graph API das System austrickste. Effektiv hätte man mit dieser Sicherheitslücke jedes beliebige Fotoalbum löschen können, weil die Schnittstelle selbst zu geschwätzig war.
Meine Empfehlungen für dich
Die 4-Stunden-Woche - Mehr Zeit, mehr Geld, mehr Leben | Der Welt-Besteller für eine geniale Work-Life-Balance, ortsunabhängiges Arbeiten und ein fantastisches Leben.
Bestes iPhone Leder-Case - Eleganter kannst du dein iPhone nicht gegen Schmutz und Kratzer schützen. Das 2in1 Leder-Case von Solo Pelle ist abnehmbar, kommt mit Kartenfächern daher und sieht einfach nur mega aus.
Mein liebster Arbeitsstuhl - Ohne den Swopper Air hätte ich sicherlich mehr Rückenschmerzen. Er fördert trotz Sitzposition eine bewegliche Wirbelsäule und hält mich beim Arbeiten aktiv. Das ist ein riesiger Vorteil zum stink normalen Bürostuhl.
In der Fehlermeldung eines ersten Löschversuchs fand sich nämlich (ein Klassiker) ein unabsichtlicher Hinweis für den Hacker, um die Sicherheitsvorkehrungen zu umgehen:
Es gebe möglicherweise Facebook Apps mit der Berechtigung, den nötigen API Call für die Löschung zu tätigen. Wieso also nicht ein wenig herumprobieren?
Response :-
{"error":{"message":"(#200) Application does not have the capability to make this API call.","type":"OAuthException","code":200}}
Mit einem Zugriffs-Token der Facebook Android App ging es dann nämlich, mit einer selbstgebauten Anfrage konnte Laxman mal eben ein eigenes Album löschen, nachdem er die ID heraussuchte und einbaute. Der nächste Versuch löschte dann ein Album von einer anderen Person, schwupp und es war weg.
Selbstverständlich ist so eine Lücke nicht gerade geschäftsfördernd für Zuckerberg und seine Crew, also wurde der Bug zügig beseitigt. Hier noch ein Video für den Prozess hinter dem netten kleinen Hack:
Facebook hat den Hacker übrigens aus freien Stücken mit einer großzügigen Bug Bounty von 12.500 US-Dollar vergütet. Bei einem technisch nicht ganz so versierten, beispielsweise deutschen Unternehmen hätte die Reaktion auf den Bug-Tipp des Hackers leider vermutlich anders ausgesehen: Strafanzeige, Ignoranz und Techpanik. Ohne den Bug schnell zu fixen.
Artikelbild-Basis: Mikael Altemark
Noch kein Fan? Folge WEBLOGIT auf Facebook oder Twitter, um nichts zu verpassen! ↵
