Zugriff auf fremdes Facebook Profil

Sicherheitslücke bei Swisscom entdeckt

Nach dem Login-Versuch zu meinem eigenen Facebook Profil bin ich in dem fremden Profil von "HP Spadin" (mit der eMail-Adresse moneyonlinerb@…..) gelandet. Weil ich es eigentlich kaum glauben konnte, dachte ich mir, da muss ich doch glatt mal ein neues Profilbild hochladen. Und siehe da es klappte, das Affenbild war online. Dann fügte ich gleich noch einen harmlosen Text ein: "Hi, ich habe eben das Profilbild und diesen Text geändert !!!!". Das Spielchen kann man beliebig so weiter treiben:

  • Profildaten und Kontakt-Informationen bearbeiten
  • Freunde editieren, einladen und akzeptieren
  • Fotos hochladen oder löschen
  • Nachrichten und Events publizieren

WICHTIG: Dies ist kein Scherz, das ist mir tatsächlich passiert!!!

Ich muss jetzt nur noch dahinter kommen, wie mir das zufällig gelungen ist. Einen Verdacht habe ich schon mal. Zuvor habe ich relativ viel mit anderen Social Media Diensten herum gespielt. Dabei kam natürlich auch Facebook Connect zum Einsatz, um sich anzumelden. Vermutlich passierte es bei einer missglückten Anmeldung bei Digg. Durch dieses Wirrwarr an Anmelde-Informationen landete ich dann irgendwann bei Facebook, um etwas nachzulesen in meinem Facebook Account. Landete aber nicht in meinem persönlichen Facebook Account, sondern in einem fremden Facebook Profil. Das einzige was dabei noch fehlte war das aktuelle Passwort des Inhabers, womit ich das Konto übernehmen könnte. Was bei einem großen Firmen-Account sicherlich lustig wäre.

Vielleicht hilft euch für die Recherche meine technische Ausstattung, ins Internet gelange ich aktuell mit dem Swisscom USB-Stick (Unlimited Data Manager) und Mozilla Firefox V3.6.3. Möglichweise ist die Konstellation so ähnlich, wie in dem AT&T-Fall, wo ein fehlerhaftes Cookie-Handling verantwortlich war, eventuell im Zusammenhang mit der Übertragung einer falschen Session-ID. Was auch für eine Swisscom-Problematik spricht, sowohl ich als auch der andere User befinden sich momentan in der Schweiz.

Natürlich habe ich den Facebook-Profil Inhaber bereits per eMail über meine Änderungen informiert, damit er sein Profilbild wieder korrigieren kann.

Hier habe ich mal einen Screenshot angefertigt als Beweis:

Sicherheitslücke in Facebook entdeckt

Ein paar Tage später landete ich in dessen "fremden" Google Konto (Inkl. Vollzugriff auf Google Mail, Google Feedburner und Google Webmaster-Tools).

7 Comments for “Zugriff auf fremdes Facebook Profil”

Wolfgang Kundler

says:

Ich habe alle Beteiligten informiert: Facebook, Swisscom und den betroffenen User. Die Swisscom hat sich zumindest telefonisch bei mir gemeldet und untersucht zumindest den Vorfall. Mal sehen was da noch rauskommt. Wenn ich mehr weiß melde ich mich wieder.

Micale Martins

says:

Das ist ja mal heiß. Wäre mal interessant zu sehen, ob dieser Bug (?) auch schon anderen über den Weg gelaufen ist. Hast Du den Leuten von Facebook auch schon bescheid gesagt? OK; die klagen vielleicht gleich… Besser nicht melden… Oder sie zahlen Dir was, eil Du eine Sicherheitslücke gefunden hast.

wobuu

says:

Ich denke nur, ich finde es unsicher meine Photos zum beispiel meine profile photo auf die web zu haben das jeder auf seinen compueter speichern kann und nutzen kann.  ich finde es schrecklich. Ich habe meine Anstelllugen andern mussen da wo ich meine name und vorname im google eingegeben habe habe ich sofort mein profile in facebook angeboten gesehen und in google Bilder mein profile bild gesehen. Schrecklich. ..

Wolfgang Kundler

says:

Ich habe heute auch noch Kontakt zum Facebook Datenschutz und Swisscom Service aufgenommen. Wobei die beiden vermutlich das Problem herunterspielen und ohnehin nicht ernst nehmen, bzw. sich gegenseitig die Schuld zu schieben. Vielleicht findet aber zumindest intern eine Überprüfung statt. Es gibt ja wirklich Accounts mit mehreren tausend Fans und zig Beiträgen, die in falschen Händen echt ein Problem darstellen.

Holger

says:

Hallo,
ein ähnliches Problem hatte ich die Tage bei einem bekannteren Social Bookmark Dienst. Mit eigenen Daten eingeloggt und bei einem anderen Benutzer gelandet. Nur habe ich mir im Gegensatz zu dir keine Scherze damit erlaubt 🙂 Nach dem ausloggen und erneut einloggen war auch der Spuk vorbei.

Keine Ahnung woran es bei mir gelegen haben könnte, um vielleicht Ähnlichkeiten feststellen zu können. Ich schätze aber einfach mal der Fehler lag/liegt beim Anbieter.
Ach ja bei mir hatte ich vollen Zugang zum fremden Account….inkl. Password. Aber wir wollen doch alle schön nett bleiben, ne? 🙂