# taz.de -- Datenleck bei Facebook: Das Hintertürchen-App
       
       > Die Sicherheitsforscher von Symantec haben ein schweres Sicherheitsleck
       > beim weltgrößten sozialen Netzwerk entdeckt. Es erlaubte über Jahre
       > theoretisch Zugriff auf Profile.
       
 (IMG) Bild: Facebook hat zum ersten Mal Nutzerdaten weitergegeben.
       
       Es gibt Bugs, kleine Fehler, die schnell behoben sind und dann gibt es
       sicherheitstechnische Datenlecks großen Ausmaßes. Solch ein Leck hatte das
       IT-Security-Unternehmen Symantec bei Facebook gefunden. Über Jahre war es
       zumindest theoretisch möglich, Zugriff auf Millionen von Profilen zu
       erhalten.
       
       Das Problem dabei waren die sogenannte Access-Token, kleine Textschnipsel,
       über die man eine Art Nachschlüssel für ein Facebook-Profil erhält. Ein
       Passwort muss dann nicht mehr eingegeben werden, um verschiedene Aktionen
       auszuführen, die eigentlich nur der Benutzer darf.
       
       Betroffen waren laut Symantec-Schätzungen User von rund 100.000 Apps,
       Anwendungen, die von Drittanbietern stammen und bei Facebook laufen. Diese
       Apps, vom Spiel über den Infodienst bis zum Videowerkzeug, benötigen vom
       User bei der Installation Genehmigungen. Sind diese erteilt, darf eine App
       etwa auf die eigene Pinnwand schreiben, die Freundesliste einsehen, andere
       User im Nachrichtenstrom informieren oder sogar Zugriff auf Fotos und Chats
       haben.
       
       ## Werbekunden hatten Zugriff aufs eigene Konto
       
       Doch diese Genehmigungen für die Apps wurden verbotenerweise an Dritte
       weitergeleitet. Grund war ein Programmierfehler bei Facebook: Die
       Access-Token wurden in Internet-Adressen gepackt, die dann weitergeleitet
       wurden als Referrer. Diese Referrer mit den Nachschlüsseln tauchten erstens
       in den Logdateien der App-Entwickler auf und wurden zweitens aber
       möglicherweise auch an deren Werbekunden weitergereicht. Wer also eine
       betroffene App installierte, erlaubte den Werbekunden eben jener App
       möglicherweise signifikanten Zugriff auf sein Konto.
       
       Doch die Facebook-Nutzer hatten Glück im Unglück. Die mindestens seit 2007
       bestehende Lücke in der Datensicherheit war laut Symantec nicht weitläufig
       bekannt. Somit landeten zwar zahllose Nachschlüssen bei Werbekunden von
       App-Entwicklern, doch diese bekamen das schlicht nicht mit. Allerdings sind
       die Access-Token eine dauerhafte Angelegenheit: Nur das Ändern des eigenen
       Facebook-Passworts machte die Nachschlüssel zunichte, was Symantec
       furchtsamen Usern nun auch empfiehlt.
       
       Facebook zufolge wurden keine Hinweise darauf gefunden, dass die Lücke auch
       ausgenutzt wurde - was aber nichts heißen muss. Immerhin hat Facebook das
       Problem laut eigenen Angaben mittlerweile behoben und will künftig sowieso
       auf eine sichere Methode zur Authentifizierung von Apps setzen.
       
       ## Nutzerdaten "aus Versehen" weitergegeben
       
       Es ist im übrigen nicht das erste Mal, dass Facebook über ein solches
       Problem gestolpert ist. Schon einmal wurden Nutzerdaten "aus Versehen" an
       Werbekunden übertragen. Damals handelte es sich allerdings "nur" um
       Nutzer-Identifikationsnummern, was Werbetreibenden allerdings potenziell
       die Namen von Facebook-Kunden bescheren konnte. Laut einem Bericht des Wall
       Street Journal waren davon auch populäre Facebook-Apps wie "Farmville" oder
       "Texas Holdem" betroffen, auch dieser Bug ist mittlerweile behoben.
       
       Facebook versuchte am Mittwoch, die von Symantec aufgedeckte Lücke
       kleinzureden. Man habe "eine intensive Untersuchung" eingeleitet. Zudem sei
       es App-Entwicklern schließlich verboten, Nutzerinformationen und
       Nutzerzugänge an Dritte weiterzuleiten. Dass die davon erst gar nichts
       mitbekamen, scheint da nicht sonderlich zu stören.
       
       Ben Edelman, Internet-Forscher an der Harvard Business School, sagte
       gegenüber dem Wall Street Journal, an solchen und ähnlichen Problemen sei
       Facebooks komplexes Ökosystem schuld. Daten könnten hin und her fließen.
       "Aber niemand hat Facebook gebeten, ein solches System zu entwickeln."
       
       Das Thema Apps und Sicherheit gilt in der IT-Security-Szene sowieso als
       besonders heiß: Facebook untersucht im Gegensatz zu anderen Firmen wie
       Apple eingereichte Anwendungen nur stichprobenartig. Da eine "böse" App
       sich Zugriff auf sensible Daten verschaffen könnte, wird dieses Vorgehen
       regelmäßig kritisiert.
       
       Für Facebook ist das eigene Ökosystem allerdings ein wichtiges Pfund: Es
       dient dem Ziel, dass die Nutzer auf längere Sicht immer mehr Tätigkeiten
       direkt bei Facebook machen, anstatt etwa andere Kommunikationskanäle oder
       Betriebssystem wie Windows zu nutzen.
       
       12 May 2011
       
       ## AUTOREN
       
 (DIR) Ben Schwan
       
       ## ARTIKEL ZUM THEMA
       
 (DIR) Zynga startet Empires & Allies: Farmville-Nachfolger auf Facebook
       
       Inmitten der Gerüchte über einen bevorstehenden Börsengang hat der
       Spiele-Hersteller Zynga mit Empires & Allies eine Strategie- und
       Aufbausimulation gestartet.
       
 (DIR) Bürgermeisterkandidat per Facebook: Such, Netzwerk, such!
       
       Einem winzigen Kreisverband der Grünen im Land Brandenburg fehlte der
       Kandidat für eine Bürgermeisterwahl. Gefunden wurde er mit Hilfe einer
       Facebook-Gruppe.
       
 (DIR) Studie zur Nachrichten-Nutzung im Netz: Facebook-Share statt Google-Rank
       
       Das Online-Netzwerk Facebook führt seine Leser auch zu Texten im Netz. Für
       Medienunternehmen wird Facebook deswegen immer wichtiger.