Mitarbeiter der Firma Symantec, einem ausgewiesenen Experten für Datensicherheit,  haben entdeckt, dass es bei Facebook offenbar für längere Zeit erhebliche Lücken gegeben hat. Dadurch war es einigen Partnern möglich, Botschaften im Namen von Mitgliedern ohne deren Wissen zu versenden. Außerdem konnten sie Einblick in persönliche Daten nehmen, die ihnen eigentlich hätten verborgen bleiben müssen.

Facebook gilt als das momentan populärste soziale Netzwerk mit Millionen von Nutzern. Die Mitgliederzahlen weisen permanent erhebliche Zuwachsraten auf. Viele Nutzer tauschen hier zum Teil höchst intime Botschaften aus und verlassen sich darauf, dass nur die von ihnen freigegebenen Informationen allgemein einsehbar sind. Doch offenbar hatten auch einige Unbefugte Zugang zu privaten Inhalten wie Nutzerprofilen,  Chatverläufen oder Fotos.

Peinlicherweise sind es ausgerechnet Partner und Werbekunden, denen Facebook irrtümlich einen zu umfangreichen Datenzugriff ermöglicht hat. Dies ist zwar nicht bewußt geschehen und viele werden ihre unvermuteten Möglichkeiten bislang nicht einmal entdeckt haben. Besonders kritisch ist es, dass gerade Werber vereinzelt die Möglichkeit gehabt haben, unbefugt Botschaften im Namen angemeldeter Nutzer zu versenden und diese damit wie deren eigene Konversation erscheinen zu lassen.

Passieren konnte das durch eine technische Lücke in der Nutzerauthentifizierung. Für Techniker: So genannte Iframe-Applikationen führten in manchen Fällen zum Verbleib von Zugangs-Tokens. Mit diesen konnten Facebook-Partner in das Profil einzelner Nutzer gelangen. Allein im April, so schätzt man, könnte die Zahl der so entstandenen Lücken rein rechnerisch in die Hunderttausende gegangen sein. Normalerweise sind solche Tokens nur für kurze Zeit gültig. Unter bestimmten Umständen werden aber auch längerfristige Tokens generiert. Diese gelten dann so lange, bis das Zugangspasswort geändert wird. Ein veraltetes Facebook-API, das mittlerweile durch das System „OAuth 2.0“ abgelöst worden ist, hatte es offenbar unbeabsichtigt immer noch ermöglicht, bei Einstellung bestimmter Parameter Zugriff auf fremde Tokens zu erlangen.

Facebook hat erklärt, eine Kontrolle habe bislang keine Hinweise darauf ergeben, dass auf Nutzerdaten zugegriffen worden sei, doch habe man Maßnahmen ergriffen, die erkannten Sicherheitslücken schnellstmöglich zu schließen. Im übrigen sei Facebook Partnern jeglicher Zugriff auf persönliche Daten sowie deren Verbreitung vertraglich untersagt. Symantec-Experten empfehlen Nutzern, ihr Passwort dennoch zu ändern, um das eigene Facebook-Profil vor Fremdzugriffen und unbefugter Benutzung zu schützen.

Innerhalb kurzer Zeit ist dies bereits die dritte maßgebliche Sicherheitslücke, die durch die Medien einer breiten Öffentlichkeit bekannt wurde. Erst vor wenigen Tagen war das iPhone von Apple ins Gerede gekommen, nachdem sich herausgestellt hatte, dass Bewegungsprofile der Nutzer über längere Zeit im Gerät gespeichert und von versierten Technikern nachträglich ausgelesen werden können. Kurz danach wurde eine Datenpanne bei Sony bekannt, durch die große Mengen von Kundendaten im Zusammenhang mit der populären Playstation in falsche Hände geraten sind.