Facebook: Ein Klick soll gengen, um sich an einem fremden Konto anzumelden.
Die Lcke fiel einem Nutzer bei Hacker News auf: Ein Freund habe ihm eine Mail-Benachrichtigung von Facebook weitergeleitet. Mit einem Klick auf den Link in der E-Mail habe er sich in den Account des Freundes, den eigentlichen Empfnger der Benachrichtigung, einloggen knnen ohne weitere Eingabe von Zugangsdaten.Komfort als Risiko
Eine Facebook-Funktion, die fr mehr Benutzerkomfort gedacht ist, macht das mglich: Jede Benachrichtigung, die man etwa erhlt, wenn man auf einem Foto markiert wurde oder jemand das eigene Posting kommentiert hat, enthlt einen Link, der zum Foto oder Posting fhrt. Der Nutzer muss sich nicht extra einloggen, denn alle Anmeldeinformationen sind im Link enthalten. Der wird zwar nach einem Klick oder nach einer gewissen Zeit ungltig und auch das Passwort lsst sich aus der Adresse des Links nicht erkennen die E-Mail-Adresse allerdings schon.
Treffer bei Google
Noch beunruhigender ist es, dass ein anderer Nutzer von Hacker News berichtet, die Benachrichtigungs-Mails von Facebook seien bei Google auffindbar. Wie die allerdings in den Index gelangt sind, ist unklar. In einem Statement weist Matt Jones von Facebook die Verantwortung zurck: Um in einer Suchmaschine gefunden zu werden, msste man die Mails im Web verffentlichen. Auerdem ergreife Facebook Manahmen, um sicherzugehen, dass nur Inhaber auf ihre Konten zugreifen knnen. Bis auf Weiteres hat Facebook die Auto-Login-Funktion deaktiviert.Inzwischen soll auch Google Manahmen ergriffen haben. Eine entsprechende Suche nach Benachrichtigungen liefert keine Ergebnisse mehr.
Keine Kommentare:
Kommentar veröffentlichen