Ja es stimmt, Facebook hat diese Funktion vorübergehend deaktiviert!

Das ist der Grund, warum Facebook die Funktion „Anzeigen aus der Sicht von…“ entfernt hat!

Von | 9. Oktober 2018, 9:35

In den letzten Tagen erreichen uns immer wieder Anfragen von Facebook-Nutzern zum Thema “Anzeigen aus der Sicht von…”

Hinweis: Bei der “Anzeigen aus der Sicht von…” Funktion von Facebook, kann man herausfinden, wie andere Nutzer dein eigenes Profil sehen bzw. wie das eigene Facebook-Profil für die “Öffentlichkeit” aussieht. (Verweis zu Facebook-Help)

Ja es stimmt, Facebook hat diese Funktion vorübergehend deaktiviert!

Der Grund dafür ist der Hacker-Angriff, von dem 50 Millionen Konten betroffen waren. Facebook hat dazu am 28.9.2018 folgende Information veröffentlicht:

Wir (Facebook) haben festgestellt, dass ein externer Akteur unsere Systeme angegriffen und eine Schwachstelle ausgenutzt hat. Aufgrund dieser Schwachstelle wurden Facebook-Zugriffstoken für private Konten in HTML offengelegt, nachdem unsere Systeme eine bestimmte Komponente der Funktion „Anzeigen als“ ausgeführt haben.Die Schwachstelle ergab sich aus dem Zusammenspiel dreier unterschiedlicher Fehler:

Screenshot: Facebook "Anzeigen aus der Sicht von..."

Screenshot: Facebook „Anzeigen aus der Sicht von…“

Erstens:

„Anzeigen als“ ist eine Datenschutzfunktion, die dazu dient, das Aussehen des eigenen Profils aus Sicht eines Anderen zu betrachten. „Anzeigen als“ ist als Schnittstelle ausschließlichen als Ansichtsfunktion vorgesehen. In einem bestimmten „Composer“ (das Feld, über das Du Inhalte auf Facebook posten kannst), nämlich dem zum Verfassen von Geburtstagsglückwünschen, bot „Anzeigen als“ jedoch fälschlicherweise auch die Möglichkeit, ein Video hochzuladen.

Zweitens:

Eine neue Version unseres Video-Uploaders (die Schnittstelle, die aufgrund des ersten Fehlers dargestellt wurde), die im Juli 2017 eingeführt wurde, erzeugte fälschlicherweise ein Zugriffstoken mit Zugriffsberechtigung auf die mobile Facebook-App.

Drittens:

Der zusammen mit „Anzeigen als“ aktivierte Video-Uploader generierte das Zugriffstoken nicht für Dich als Betrachter, sondern für den angegebenen Nutzer, den Du in der Funktion betrachtest.

In der so beschriebenen Weise ergaben diese drei Fehler eine Schwachstelle: Beim Einsatz der Funktion „Anzeigen als“ zum Betrachten des Profils aus Sicht eines anderen Nutzers hat der Code den Composer nicht entfernt, mit denen Du Freunden Geburtstagsglückwünsche übermitteln kannst; der Video-Uploader generierte fälschlicherweise ein Zugriffstoken; und das generierte Zugriffstoken war nicht auf Dich ausgestellt, sondern auf die Person, die Du bei „Anzeigen als“ ausgewählt hattest.

Dieses Zugriffstoken konnten die Angreifer anschließend aus dem HTML-Code der Seite extrahieren und dafür missbrauchen, um sich als ein anderer Benutzer anzumelden. Dies ermöglichte es den Angreifern, von diesem Zugriffstoken zu anderen Konten zu wechseln und durch Wiederholung dieses Vorgangs an weitere Zugriffstoken zu gelangen.

Wir haben diese Schwachstelle behoben, so dass die Konten der Menschen auf Facebook sicher sind. Zusätzlich haben wir die Zugriffstoken der fast 50 Millionen bekannten betroffenen Konten zurückgesetzt. Ergänzend haben wir vorsorglich auch die Zugriffstoken für weitere 40 Millionen Konten zurückgesetzt, auf die im letzten Jahr die Funktion „Anzeigen als“ angewendet wurde.

Als letzte Maßnahme haben wir vorübergehend die Funktion „Anzeigen als“ deaktiviert, während wir parallel eine gründliche Sicherheitsüberprüfung durchführen.

Quelle: Facebook

- Wir brauchen deine Unterstützung -
An alle unsere Leserinnen und Leser! Wir haben keine “Pay-Wall” eingerichtet, denn wir möchten unsere Inhalte für alle Interessierten offen halten. Wenn jeder, der unsere Rechercheberichte liest und mag, dabei hilft, diese zu finanzieren, wird es mimikama auch weiterhin geben
. Hier kannst Du unterstützen: via
PayPal und Steady
- Werbung -
- Werbung -