Facebook zahlt Rekordbelohnung für Königs-Lücke
Facebook mitteilte. Denn das Problem war so schwerwiegend, dass er auf dem Schwarzmarkt sicherlich einen signifikant höheren Preis hätte erhalten können. Doch dies ist ein grundsätzliches Problem der Bug Bounty-Programme.
Die Sicherheitslücke entstand durch einen Fehler bei der Implementierung von OpenID. Die Technologie ermöglicht es, dass sich Nutzer auch mit einem Login, dass sie bei einem anderen Anbieter angelegt haben, in das Social Network einloggen. In Silvas Fall führte der Angriff über Googles E-Mail-Dienst Gmail.
Silva konnte den Vorgang so manipulieren, dass Gmail in dem Prozess durch einen von ihm kontrollierten Dienst ersetzt wurde. Daraufhin konnte er manipulierten Code bei Facebook einschleusen, der den Webserver dazu brachte, ihm verschiedene Daten von dem Rechner auf dem er lief, zu schicken. Aus diesen ließen sich beispielsweise auch die Zugangskennungen von Administratoren herauslesen.
"Da war mir klar, dass ich die Schlüssel zum Königreich gefunden hatte", erklärte der Sicherheitsforscher. Diese ermöglichten es immerhin, die Kontrolle über die Rechner zu übernehmen, auf denen das Social Network betrieben wird. Für einen solchen Schatz wären Kriminelle sicherlich bereit gewesen, eine stattliche Summe auf den Tisch zu legen.
Silva meldete den Fehler allerdings an Facebook und das Unternehmen reagierte extrem schnell. Der Fehler wurde binnen sehr kurzer Zeit behoben, was zwar nicht unbedingt üblich, in diesem Fall aber unbedingt geboten war.
Eigentlich, so muss man sagen, handelt es sich trotz des hohen Betrages eher um eine symbolische Anerkennung dafür, dass Silva ehrlich handelte und seine Entdeckung den Technikern bei Die Sicherheitslücke entstand durch einen Fehler bei der Implementierung von OpenID. Die Technologie ermöglicht es, dass sich Nutzer auch mit einem Login, dass sie bei einem anderen Anbieter angelegt haben, in das Social Network einloggen. In Silvas Fall führte der Angriff über Googles E-Mail-Dienst Gmail.
Silva konnte den Vorgang so manipulieren, dass Gmail in dem Prozess durch einen von ihm kontrollierten Dienst ersetzt wurde. Daraufhin konnte er manipulierten Code bei Facebook einschleusen, der den Webserver dazu brachte, ihm verschiedene Daten von dem Rechner auf dem er lief, zu schicken. Aus diesen ließen sich beispielsweise auch die Zugangskennungen von Administratoren herauslesen.
"Da war mir klar, dass ich die Schlüssel zum Königreich gefunden hatte", erklärte der Sicherheitsforscher. Diese ermöglichten es immerhin, die Kontrolle über die Rechner zu übernehmen, auf denen das Social Network betrieben wird. Für einen solchen Schatz wären Kriminelle sicherlich bereit gewesen, eine stattliche Summe auf den Tisch zu legen.
Silva meldete den Fehler allerdings an Facebook und das Unternehmen reagierte extrem schnell. Der Fehler wurde binnen sehr kurzer Zeit behoben, was zwar nicht unbedingt üblich, in diesem Fall aber unbedingt geboten war.
Thema:
Jetzt als Amazon Blitzangebot
Ab 06:05 Uhr Shargeek Storm 2, 100 W Laptop-Power Bank, 25600 mAh, weltweit erste durchsichtige Powerbank mit IPS-Bildschirm, DC & 2 USB-C- & USB-Anschlüsse Kompatibel mit iPhone, iPad, Samsung, MacBook Series
Original Amazon-Preis
199,99 €
Im Preisvergleich ab
175,44 €
Blitzangebot-Preis
169,99 €
Ersparnis zu Amazon 15% oder 30 €
Metras Aktienkurs in Euro
Neue Facebook-Bilder
Videos zum Thema Facebook
- Mehr als eine Kamerabrille? Die Ray-Ban-Meta-Smart Glasses im Test
- Vor Apple noch in Position bringen: Meta macht Wind um neues Headset
- Super Bowl 2022: Meta schickt Animatronics ins Metaverse
- Super Bowl 2020: Das waren die besten Werbespots beim Sport-Event
- Super Bowl 2020: Facebook wirbt für sein Gruppen-Feature
The Social Network im Preis-Check
Beiträge aus dem Forum
-
Facebook, Instagram, TikTok, X (EX-Twitter), Mastodon und Co:
el_pelajo -
Facebook-Konzern Meta geht mit einem Twitter-Konkurrenten an den Start
Ler-Khun -
Facebook Werbung
Ler-Khun -
Facebook sperrt meinen Account und verlangt zum Entsperren Foto
Doodle -
Abfrage der Datenschutzeinstellungen bei jedem Neustart.
DK2000 -
Keine Anzeige meiner Beiträge in Facebook
IsabellaKrystynek -
deutscher Warcraft 3 Discord / deutsche Warcraft 3 Community Facebook
thielemann03
Neue Downloads
Weiterführende Links
Neue Nachrichten
- Tesla will allen Autokäufern eine Full Self-Driving-Demo aufzwingen
- Circle to Search: Einkreis-Suche auf vielen neuen Geräte, neue Features
- Visa und Mastercard: Streit um Kartengebühren nach 19 Jahren beendet
- Balkonkraftwerke: In Zukunft deutlich weniger bürokratische Hürden
- Ende einer Ära: Letzte Luftpost-Flüge innerhalb Deutschlands beendet
- Social Media-Nutzer überziehen Boeing mit Spott - dort lacht man nicht
- Google Maps: Neues Update erleichtert Routenplanung
Videos
Beliebte Downloads
Beliebte Nachrichten
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen