Anzeige

Facebook

Quelle: David Tran Photo / Shutterstock.com

Stellen Sie sich vor, Sie besuchen eine vollkommen harmlos wirkende Seite, beispielsweise mit Informationen zu einer bekannten Sehenswürdigkeit – und plötzlich wissen Cyberkriminelle alles über Sie.

Egal ob Freunde, persönliche Vorlieben, politische Interessen, Sie sind ein offenes Buch. Genau diese Mechanik haben Spezialisten des Security-Experten Imperva im Frühjahr dieses Jahres bei Facebook offengelegt. Über einen Bug in der Suchfunktion des sozialen Netzwerks ließen sich bis zum Sommer 2018 die gesamten persönlichen Informationen von Usern und deren Kontakten auslesen.

Ron Masas, Security Researcher bei Imperva:

„Ein einzigartiges Merkmal des aufgedeckten Fehlers ist die Ausnutzung des iFrame-Elements innerhalb der Suchfunktion von Facebook. Dadurch konnten Informationen über Domänen hinweg gesammelt werden – im Wesentlichen bedeutet dies, dass, wenn ein Benutzer eine bestimmte Website besucht, ein Angreifer Facebook öffnen und Informationen über den Benutzer und seine Freunde sammeln kann.

Diese Daten sind vor allem für Angreifer attraktiv, die anspruchsvolle Social-Engineering-Angriffe entwickeln oder diese persönlichen Informationen an ein Werbeunternehmen verkaufen wollen. Interessanterweise hat die Schwachstelle die Interessen des Benutzers und seiner Freunde offengelegt, auch wenn ihre Datenschutzeinstellungen so eingestellt wurden, dass die Interessen nur für die Freunde des Benutzers sichtbar waren.

Obwohl es sich nicht um eine gängige Technik handelt, ist damit zu rechnen, dass die zugrundeliegende Mechanik im kommenden Jahr verstärkt ausgenutzt werden dürfte. Fehler werden in der Regel gefunden, um Authentifizierungsbypässe zu umgehen, damit die Kriminellen Zugang zu persönlichen Informationen erhalten. Aber dieser Fehler ermöglicht es Angreifern, die Nutzung von iFrames durch Facebook auszunutzen, um die persönlichen Informationen des Benutzers zu verraten. Interessanterweise hinterlässt diese Technik – im Gegensatz zu Authentifizierungsbypässen – fast keine Spuren.“

www.imperva.de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Handschlag

Veronym und CyberDirekt vereinbaren Partnerschaft

Veronym, ein Cloud Security Service Provider, und CyberDirekt, eine digitale Plattform für die Absicherung gewerblicher Cyber-Risiken, werden zukünftig gezielt kleinere und mittelständische Unternehmen mit einem Servicepaket für IT-Sicherheit unterstützen.
Europa-Flagge

Europa braucht eigene Digital-Infrastruktur

Eine breite Allianz aus Wissenschaftlern, IT-Experten und Medienmanagern hat die EU zum Bau einer eigenständigen Digital-Infrastruktur für Europa aufgerufen. Es ist nach Ansicht des Bündnisses «höchste Zeit» für eine Alternative zu den Internetriesen aus den…
Idee Innovation

Deutsche glauben an Erfolg durch neue Technologien

Das Markt- und Meinungsforschungsinstitut YouGov hat im Auftrag der Alibaba Group die Frage untersucht, wie bereit Unternehmensentscheider und Angestellte in Deutschland für neue digitale Technologien im Arbeitsumfeld sind – zum Beispiel Livestreaming, mobile…
Pinterest

Flut an schädlichen Inhalten auf Pinterest versteckt

Die US-Fotocommunity Pinterest verbirgt viele schädliche Inhalte wie Verschwörungstheorien oder sexualisierte Bilder von jungen Mädchen. Die Plattform löscht solchen Content nicht, sondern richtet ihre Suchergebnisse so aus, dass solcher Content im Prinzip…
Produktive Frau am Strand

Berufstätige sind im Sommerurlaub dienstlich erreichbar

Ob Mallorca, Ostseestrand oder Balkonien: 70 Prozent der Berufstätigen, die in diesem Sommer Urlaub machen, sind währenddessen für dienstliche Belange erreichbar.
Start-Up

Weniger Geld für deutsche Start-ups

Die Zahl der Finanzspritzen für Start-ups in Deutschland ist gestiegen, die investierte Summe jedoch gesunken. Zu diesen Ergebnissen kommt eine am Montag veröffentlichte Studie der Prüfungs- und Beratungsgesellschaft Ernst & Young (EY).

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!