Facebook: Fast-Praktikant entdeckt Lücke und verliert das Praktikum

David gegen Goliath?

Aran Khanna hat eine Sicherheits-Schwachstelle in Facebook Messenger entdeckt bzw. aufgezeigt und zwar kurz bevor er als Praktikant beim weltgrößten sozialen Netzwerk anfangen sollte. Die Lücke ist einigermaßen empfindlich: Denn beim Messenger wurde jedes Mal, wenn eine Nachricht verschickt worden ist, der Standort des jeweiligen Nutzers mitgeschickt.

Das hat er dazu verwendet, ein Browser-Plugin namens "Marauder's Map" (Harry Potter-Fans werden wissend nicken) zu erstellen, mit dem angezeigt wurde, von wo man eine Nachricht geschickt hat. Dadurch ließ sich ein genauer Standort-Verlauf zeichnen, jedenfalls dann, wenn man viele Messages verschickt. Die Chrmome-Erweiterung Marauder's Map In Technology Science hat Aran Khanna nun eine Analyse der Schwachstelle bzw. des Chrome-Plugins veröffentlicht. Laut Khanna wusste Facebook davon bereits seit etwa drei Jahren. Also hat er - kurz vor seinem Praktikum bei Facebook - diese veröffentlicht. Das kam bei Facebook erwartungsgemäß alles andere als gut an, dort forderte man, dass er die Erweiterung zurückzieht und darüber nicht mit Medien spreche.

Das befolgte er auch, für das Facebook-Hauptquartier war das aber nicht genug. Wenige Stunden bevor er in den Flieger steigen wollte, um das Praktikum zu beginnen, wurde ihm mitgeteilt, dass das Angebot zurückgezogen wurde.

Gegenüber Boston.com rechtfertigte Facebook die Entscheidung, Unternehmenssprecher Matt Steinfeld sagte, dass die Anwendung gegen die Facebook-Bedingungen verstoßen habe (da sie Lücken öffentlich ausgenützt hat). Vor allem habe Khanna auch auf mehrfache Aufforderung das Tool nicht zurückgezogen. Die Lücke ist mittlerweile geschlossen worden, Facebook beteuert, dass man schon lange vor Khannas Extension an einer Lösung gearbeitet hat.