Facebook-Konten gehackt

Ich wollte vollen Zugriff

Von Fridtjof Küchemann
27.02.2013
, 16:32
Gibt es einen Weg, unbefugt auf die Konten aller Facebook-Nutzer zuzugreifen? Es gab ihn zumindest. Nir Goldshlager hat ihn gefunden. Und der Social-Media-Riese konnte nur noch gratulieren.
ANZEIGE

Facebook zeigt sich erkenntlich. „Im Namen von über einer Milliarde Nutzern“, schreibt das Unternehmen auf einer Seite seines „White Hat“-Programms, „möchten wir uns bei den folgenden Leuten dafür bedanken, dass sie uns ihre Entdeckungen verantwortungsvoll mitgeteilt haben.“ Es folgt eine Liste von Sicherheitsexperten, die sich zwar Zugang ins System, in die Datenbanken oder zu den Nutzerkonten des Social-Media-Riesen verschaffen konnten, ihr Wissen aber als „White Hats“, im Gegensatz zu den kriminellen „Black Hats“ unter den Hackern, als Erstes mit dem Unternehmen geteilt und erst dann veröffentlicht haben, als die Sicherheitslücke geschlossen oder der Fehler behoben werden konnte. Schon nach zwei Monaten stehen dreiundzwanzig Namen auf der Liste dieses noch jungen Jahres, im Vorjahr waren es mehr als hundert. Immer mit dabei: Nir Goldshlager.

ANZEIGE

Der 27 Jahre alte Fachmann hat einen Weg gefunden, der ihm den Zugriff auf die Facebook-Konten aller Nutzer ermöglicht hat, auf ihre Seiten, ihre direkte Kommunikation, ihre privaten Videos und Fotos. Über das bei Facebook eingesetzte Protokoll OAuth lässt jeder Nutzer zu, dass installierte Applikationen auch ohne Kenntnis seines Passworts auf seine Daten zugreifen können – etwa um ihm passend zu seinen Standortdaten die Wettervorhersage anzuzeigen. Goldshlager hat die URL des OAuth-Dialogs so manipulieren können, dass jeder Nutzer, der zum Beispiel die Facebook-App eines bestimmten Pokerspiels installiert hat, Zugangsdaten unbemerkt an eine Seite außerhalb von Facebook sendet. „Aber ich wollte etwas noch Kräftigeres, etwas, das mir auch ohne eine installierte App vollen Zugriff auf das Konto des Opfers gibt“, schreibt Goldshlager in seinem Blog – und nutzte einfach die bei jedem Konto vorinstallierten Apps wie den Messenger für seinen Hack. Facebook konnte nur noch gratulieren.

Mindestens 500 Dollar Belohnung zahlt das Unternehmen für einen ernstzunehmenden Fund. Nach oben sind keine Grenzen gesetzt. Wie viel Goldshlager für seine Entdeckung genau bekommen hat, will er nicht verraten. „Ich kann sagen, sie zahlen sehr gut“, sagte er im Interview mit „Market Watch“. Kein Wunder: An der Verbundenheit von Leuten wie ihm hängt ja auch die Vertrauenswürdigkeit eines ganzen Konzerns, der intime Daten vieler Menschen hüten muss.

Quelle: F.A.Z.
Fridtjof Küchemann  - Portraitaufnahme für das Blaue Buch "Die Redaktion stellt sich vor" der Frankfurter Allgemeinen Zeitung
Fridtjof Küchemann
Redakteur im Feuilleton.
Twitter
  Zur Startseite
Verlagsangebot
Verlagsangebot
ANZEIGE