Vier Jahre lang hatten Werber Zugriff auf Millionen von Facebook-Profilen. Dies berichtet der Sicherheitsspezialist Symantec (extern). Die Lücke wurde mittlerweile von Facebook geschlossen.
Das Problem waren die Facebook-Anwendungen, die zur Anmeldung einen Access Token nutzen, der durch den Fehler auch in die Webadresse eingebettet wurde, auf die diejenigen Zugriff hatten, die in diesen Facebook-Anwendungen Werbung schalten oder dafür Statistiken erstellen.
Über diesen Access Token hätte man nicht nur Zugriff auf die bei Facebook gespeicherten privaten Daten der Nutzer zugreifen, sondern auch selbst Nachrichten posten können.
Passwort ändern
Der Access Token ist normalerweise nur für kurze Zeit gültig, in einigen Fällen aber auch nicht. Auch wenn Facebook, die Lücke bereits geschlossen hat, durch die Änderung des Passworts werden alte Access Token ungültig.
Es ist kein Fall bekannt, indem diese Sicherheitslücke ausgenutzt wurde.