Da hat sich der Wirbel um die Datenpanne bei Sonys PlayStation Network gerade ein wenig gelegt, schon schneit uns das nächste Desaster auf die Computer-Monitore. In dieses Mal ist kein geringeres Unternehmen als Facebook betroffen. Das zumindest behaupten die Sicherheits-Experten von Symantec in ihrem Unternehmensblog.
Was genau ist passiert? Nun, Symantec behauptet, dass Dritte über mehrere Jahre hinweg ohne Erlaubnis auf die Daten von Facebook-Nutzern zugreifen konnten. Betroffen seien Kunden gewesen, die so genannte IFRAME-Applikationen nutz(t)en – und davon gab es dem Vernehmen nach allein im April mehr als 100.000 Stück. Wörtlich heißt es im Symantec-Blog: „Im Laufe der Jahre haben offenbar hunderttausende Applikationen unbeabsichtigt den Zugang für Dritte ermöglicht.“ Insbesondere für Facebooks Werbekunden sei ein Zugriff möglich gewesen.
Symantec will Facebook nach eigenen Angaben über die Sicherheitslücke informiert haben. Seitens des weltgrößten sozialen Netzwerks mit inzwischen rund 650 Millionen Mitgliedern wurde das Leck bestätigt und umgehend damit begonnen, die Schwachstelle zu stopfen. Symantec berichtet weiter, dass nicht nur Profildaten und Fotos einsehbar gewesen seien, sondern auch Chats.
Außerdem sei es möglich gewesen, Nachrichten im Namen von Facebook-Nutzern abzusetzen und persönliche, für die Öffentlichkeit nicht sichtbare Profil-Informationen ohne Wissen der Nutzer einzusehen. Und gerade das wird Datenschützer alarmieren. Allerdings weist Symantec auch darauf hin, dass die Sicherheitslücke offenbar von niemandem ausgenutzt wurde. Die Änderung des Passworts wird allen Facebook-Nutzern zur allgemeinen Sicherheit trotzdem ans Herz gelegt.
Glück im Unglück nennt man das wohl. Gleichwohl eine peinliche Angelegenheit für Facebook, die noch hohe Wellen schlagen dürfte. Den Erfolg des Netzwerks wird es aber nicht weiter beeinflussen. Ihr wisst schon: die Sucht und so…
Facebook wollte alle Vorwürfe im Übrigen nicht unkommentiert im Raum stehen lassen. Ein Facebook-Sprecher erklärte uns schriftlich:
„Wir begrüßen es, dass Symantec uns auf diesen Sachverhalt hingewiesen hat […]. Bedauerlicherweise enthält Symantecs Bericht ein paar Ungenauigkeiten. Insbesondere haben wir eine genaue Untersuchung durchgeführt, die zu keinen Belegen geführt hat, dass persönliche Nutzerdaten mit unbefugten Drittparteien geteilt wurden. Darüber hinaus vernachlässigt dieser Bericht die vertraglichen Verpflichtungen der Werbetreibenden und Entwickler hinsichtlich der Beschaffung und Weitergabe von Nutzerdaten, die nicht im Einklang mit unseren Richtlinien stehen. Im Rahmen der Neuerungen […] wurde die veraltete API, die in Symantecs Bericht erwähnt wird, entfernt“.
(Hayo Lücke)
