Das soziale Netzwerk Facebook hat App-Anbietern nach Angaben von Experten versehentlich Zugriff auf sensible Daten seiner Nutzer gewährt. Einzelne Anwendungen auf Facebook ermöglichten Unbefugten Zugriff auf Nutzerprofile, Fotos und Online-Konversationen, erklärte die Computer-Sicherheitsfirma Symantec am Dienstag. Dritte, wie etwa Facebook-Werbekunden, hätten damit die Möglichkeit, unerlaubt im Namen von Facebook-Nutzern Botschaften zu verschicken oder persönliche Daten einzusehen, sagte ein Symantec-Experte.
Die Lücke betrifft laut heise das ältere Facebook-API, mit dem iFrame-Anwendungen Zugriff auf das Nutzerkonto legitimieren. Beim Login kann es passieren, dass der Access-Token in den URL eingefügt wird. Wird daraufhin etwa ein Werbebanner geladen, kann es sein, dass der Token an den Anbieter übermittelt wird. Im April seien etwa 100.000 Anwendungen von dem Sicherheitsproblem betroffen gewesen. Über die Jahre hätten möglicherweise hunderttausende Anwendungen Unbefugten ungewollt Millionen von Zugriffsmöglichkeiten auf Kundendaten eingeräumt.
"Glücklicherweise" hätten die Nutznießer möglicherweise nichts von ihren Zugriffsmöglichkeiten bemerkt, sagte der Symantec-Experte. Er empfahl Facebook-Nutzern, ihr Passwort zu ändern. Damit verlieren die Token ihre Gültigkeit und das Facebook-Profil werde wieder sicher. Facebook hat die Lücke inzwischen geschlossen und Entwickler sowie Drittanbieter darüber in Kenntnis gesetzt.
Facebook liefert sich mit Google und Yahoo einen harten Wettkampf um Kunden und Werbung. Zuletzt ist der japanische Elektronikkonzern Sony wegen einer Datenpanne bei seiner beliebten Playstation massiv unter Druck geraten.
