Dank eines dummen Facebook-Bugs hätte jeder deine Fotos per Umfrage löschen können

Ein Sicherheitsforscher entdeckte die kritische Schwachstelle in Facebooks neuem Umfrage-Feature. Zum Dank erhielt er von Facebook 10.000 US-Dollar.

|
Nov. 28 2017, 1:38pm

Bild: Shutterstock | achinthamb , Bearbeitung: Motherboard 

Anfang November führte Facebook eine Umfragefunktion ein. Nun können entscheidungsunfreudige Nutzer andere per Text, Bildern oder Gifs darüber abstimmen lassen, was sie sich zum Mittagessen bestellen sollen oder welche Jacke ihnen besser steht. Doch mit diesem Feature hatte Facebook Hackern auch unabsichtlich die Möglichkeit gegeben, jedes beliebige Bild von der Plattform zu löschen.

Wenn ein Facebook-Nutzer eine Umfrage erstellt, wird eine Anfrage an den Facebook-Server gesendet, die eine einzigartige ID-Nummer für die Bilder oder GIFs enthält, das für die Umfrage verwendet werden. Und an dieser Stelle liegt die Sicherheitslücke, die der Sicherheitsforscher Pouya Darabi Anfang November entdeckte, wie er in einem Blogpost erklärt: Darabi konnte die ID mit der ID eines beliebigen Fotos aus dem Netzwerk einfach austauschen – dabei war es egal, ob er selbst oder andere Nutzer die Fotos hochgeladen hatten.

Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter

Durch diesen Trick enthielt Darabis Umfrage nun Bilder von anderen Leuten, selbst wenn diese eigentlich als nicht öffentlich eingestellt waren. Als er dann seine Umfrage wieder löschte, wurden auch die dazugehörigen Bilder komplett aus Facebook gelöscht. Darabi führt in seinem Post nicht aus, wie er an die IDs der fremden Fotos gelangte, aber es ist durchaus denkbar, dass ein böswilliger Hacker nur lange genug willkürlich Zahlen eintippen müsste, bis er oder sie ein echtes Foto erwischen würde.

In einem Video erklärt Darabi, wie der Bug funktioniert:

Laut Darabi gelang es Facebook innerhalb von zwei Tagen, die Sicherheitslücke zu schließen, nachdem er sie gemeldet hatte. Außerdem belohnte Facebook seinen Fund mit 10.000 US-Dollar. Facebook bestätigte diese Angaben gegenüber Motherboard in einer E-Mail.

Es ist nicht das erste Mal, dass ein unabhängiger Sicherheitsforscher eine derartige Lücke bei Facebook entdeckt hat. 2015 fand ein Forscher einen Bug, mit dem er jedes beliebige Bild auf Facebook löschen konnte. Anderen Hacker ist es in der Vergangenheit gelungen, Kommentare oder Videos von der Plattform zu löschen. Diese Programmfehler konnten allesamt von Facebook behoben werden.


Ebenfalls auf Motherboard: Zu Besuch im explosivsten Labor der USA


Natürlich ist nicht nur Facebook von Sicherheitslücken betroffen. Erst vergangenen Monat entdeckte ein Sicherheitsforscher, dass er, ganz ohne sich autorisieren zu müssen, auf eine firmeninterne Liste von Google zugreifen konnte, in der alle Systemfehler aufgeführt waren. Böswillige Hacker hätten diese Lücke leicht ausnutzen können, um Infos über kritische Schwachstellen zu sammeln und sie auszunutzen, bevor sie von Google geschlossen werden konnten.