Bedenkliches Zugangsrecht: --- Dauerhafter Zugang zu deinen Daten - {Die Anwendung} kann auf deine Daten zugreifen, wenn du die Anwendung nicht verwendest. ---
Die sogenannte “offline_access” Permission, mit der der Nutzer einer Anwendung den dauerhafter Zugang auf seine Daten gewähren konnte, wurde von Sicherheitsexperten seitjeher als eher bedenkliche Rechteabfragen der Facebook API angesehen. Dieses Zugriffsrecht wird ab dem 1. Mai 2012 in – seiner alten Form – Geschichte sein. Stattdessen wird es die Möglichkeit geben einen Authorisierungs-Schlüssels (“access_token”) mit einer Lebenszeit von vollen 60 (!) Tagen zu erhalten.
“Nutzer haben dieses Zugangsrecht nicht verstanden”
Bei einem Facebook Mobile Hack, der vergangene Woche in New York stattfand, gaben Entwickler des kalifornischen Konzerns die schwere Nachvollziehbarkeit der Rechtevergabe als Grund für die Änderung an. Ein Großteil der Nutzer hätte den Nutzen sowie die Konsequenzen schlichtweg nicht verstanden.
(Keine) Verbesserung der Ausgangssituation?
Ob sich die Unklarheit über diese Rechtevergabe mit den Änderungen verbessert ist im Moment jedoch mehr als unklar. Wie bereits erwähnt, kann jede Anwendung den klassischen Access Token durch einen für eine längere Zeit gültigen Token austauschen. Eien gesonderte Genehmigung durch den Nutzer ist nicht mehr nötig. Nach offziellen Angaben soll der neue Token bis zu 60 Tage gültig sein, unsere Selbsttests bestätigen diesen Wert.
Der Austausch findet server-seitig statt, daher hat der Nutzer keinerlei Kontrolle darüber, ob die Anwendung einen “normalen” Session Key besitzt oder ob dieser durch einen “Langzeit”-Token ausgetauscht wird. Unser Test-Token, den wir während der Verfassung dieses Artikels erstellt haben, wäre somit bis 25. März 2012 gültig.
An dieser Stelle sind wir etwas verwundert, dass sich weder die Facebook-kritische Presse noch die üblichen Protagonisten wie Verbraucherschutz-Ministerin Ilse Aigner mit dem Thema auseinandergesetzt haben.
(weiterlesen …)
Nach Informationen eines Lesers gibt es bei Facebook derzeit ein Sicherheitsloch, welches bis heute nicht geschlossen ist. Über die Anwendungsschnittstelle (Facebook API) ist der Zugriff auf sensible Daten möglich. Um den Mißbrauch der Sicherheitslücke nicht zu fördern, möchten wir an dieser Stelle noch nicht auf Details eingehen.
Dennoch möchten wir jeden der Facebook beruflich für sein Unternehmen nutzt noch einmal eindringlich warnen alle nicht explizit vertrauenswürdige Apps aus dem eigenen Account zu entfernen. Unser Informant empfiehlt zur aktuellen Sicherheitslücke:
“Apps von unbekannten Herstellern, die beispielsweise allgemeine Dienstleistungen – wie Cover-Foto Generatoren – anbieten, stellen im Fall der Fälle das höchste Sicherheitsrisiko dar. Apps von seriösen Unternehmen – wie beispielsweise Daimler, BMW, etc. – sollten ohne großes Risiko weiter genutzt werden.“
Private Anwender sind aktuell nicht betroffen und auch wenn der Zugriff auf sensible Daten möglich ist, die Sicherheitslücke erlaubt es nicht Accounts zu übernehmen, Daten zu ändern, Schadsoftware einzuspielen oder ähnliches. Wie lange das Problem bereits besteht, ist ebenfalls nicht bekannt. Entdeckt wurde es vor einigen Tagen, es ist jedoch davon auszugehen, dass die Lücke bereits länger besteht. Der Bug wurde umgehend bei Facebook gemeldet, an einer Schließung der Lücke wird gearbeitet.
Unabhängig von der aktuellen Warnung sollte jeder sowieso diese Schritte durchführen. Für berufliche Nutzer ist es allerdings ein Muss:
Unser Informant und wir stehen in direktem Kontakt zu Facebook. Wenn der Fehler behoben wurde werden werden wir an genau dieser Stelle auch weitere Informationen veröffentlichen.
Für viele Leser dienen wir wohl als zentraler Ansprechpartner für alle Facebook Probleme da wir in Bezug auf “Facebook Kontakt” wohl ziemlich gut bei Google ranken. Entsprechend sieht auch unser Posteingang aus: Support Anfragen ohne Ende. Wir können dabei leider nur auf den kleinsten Teil der Anfragen reagieren.
In letzter Zeit kam es immer öfter vor das wir Mails bekommen haben weil Nutzeraccounts auf Facebook gehackt wurden. Deshalb hier eine kurze Aufklärung: Was tun wenn der eigene Facebook gehackt wurde?
Egal was wir hier beschreiben: Bevor ihr irgendwas unternehmt, schaut ob euer PC frei von Schadsoftware ist. Ein Antivirenprogramm ist Pflicht! Wenn ihr den Grund des Hacks (Virus, Trojaner) nicht beheben könnt dann helfen auch diese Maßnahmen danach nichts. Gebt eure Login-Daten an niemand weiter, auch nicht an gute Freunde.
Generell sollten wir hier zwei unterschiedliche Fälle unterschieden:
A. Der Facebook Account wurde gehackt – aber ein Login ist möglich
B. Der Facebook Account wurde gehackt – aber ein Login ist nicht möglich
Zu beiden Fällen wollen wir euch etwas Input geben. Beide Beschreibungen haben wir ohne detailgenaue Klickanleitungen zusammengestellt, da diese bei der schnellen Änderung auf Facebook eh nicht lange halten würde. Aber wir denken, dass ihr es auch so schafft:
A. Facebook Account gehackt – aber Zugriff besteht noch.
In diesem noch etwas glücklicheren Fall könnt ihr alles relativ schnell beheben. Wir würden euch empfehlen folgende Punkte durchzuarbeiten:
1. Die Grundlage – Neues (sicheres!!) Passwort
Im ersten Schritt es wichtig das ihr ein neues (sicheres) Passwort wählt. Dazu geht ihr in eure Accounteinstellungen und ändert das Passwort. Facebook zeigt euch auch an wie sicher euer Passwort ist. Am besten ihr nutzt Groß- und Kleinschreibung in Kombination mit Zahlen oder Zeichen. Achtet auch darauf, dass euer Passwort nicht bei allen Anbietern (Mail, StudiVz, Facebook, etc.) das Selbe ist. Ein wenig mehr Sicherheit bietet es schon, wenn ihr jedes Passwort minimal abwandelt oder für die wichtigsten Services jeweils ein unterschiedliches Passwort wählt. Ein Passwort aufzuschreiben und an einem sicheren Ort auf zu bewahren ist kein Verbrechen!
2. E-Maileinstellungen überprüfen
(weiterlesen …)
Schon in der letzten Woche konnten wir euch eine Infografik zum Thema Sicherheit auf Facebook hier im Blog zeigen. Nun wollen wir zwei neue Features zeigen die in Zukunft den Nutzer besser schützen sollen:
Vertrauenswürdige Freunde
Facebook vergleicht diese Funktion mit dem Prinzip das wir schon aus dem realen Leben kennen: Für den Fall dass wir einmal den Haustürschlüssel vergessen oder verlieren gibt man ja gerne mal den Haustürschlüssel an besonders gute Freunde.
So ähnlich funktioniert dies nun auch auf Facebook. Generell kann man zwar ein vergessenes Passwort mit der eigenen E-Mailadresse wieder herstellen allerdings besteht in vielen Fällen, wie Beispielsweise einem Accounthack, nicht mal diese Möglichkeit. Für diesen Fall lassen sich nun auf Facebook besonders gute Freunde definieren mit denen es möglich wird wieder auf den eigenen Account zuzugreifen. Natürlich wird dabei nicht dass Passwort an die Freunde weitergegeben. Jeder Nutzer kann dabei 3-5 Freunde definieren die dabei helfen können um sich wieder auf Facebook anmelden zu können. Wird das Passwort dann vergessen auch der Zugriff auf die E-Mails besteht nicht mehr so wird an alle ausgewählten Freunde ein Code geschickt welchen man im Eingabefeld eintragen muss. Danach kann ein Nutzer wieder auf den Account zugreifen.
Ein ähnliche Funktion hat Facebook bereits mit der Bilderauthorisierung implementiert. So müssen bei dieser Sicherheitsoption die eigenen Freunde auf Bildern erkannt und markiert werden.
Die Funktion ist derzeit noch nicht für alle Verfügbar und wird noch getestet.
Passwörter für Anwendungen
Für externe Anwendungen lassen sich in Zukunft eigene Passwörter generieren. Dabei spricht Facebook nicht von Anwendungen wie Farmville, oder sonstige Spiele innerhalb von Facebook, denn hier braucht man natürlich nicht wirklich ein eigenes Passwort. Gemeint sind Passwörter für Apps oder Programme in denen man sich auch mit den normalen Logindaten anmelden kann. Also Beispielsweise Chatanwendungen wie Jabber oder auch Apps für Smartphones. Sollte mit einem dieser Dienste etwas nicht richtig funktionieren so kann einfach die Anwendung entfernen werden und auch das richtige Facebook Passwort ist nicht in Gefahr.
Um ein Passwort einzustellen muss man nur in die Kontoeinstellungen auf den Punkt Sicherheit und dort dann den Punkt “Passwörter für Anwendungen” wählen. Auch diese Funktion befindet sich derzeit im Test und ist nicht für alle Nutzer verfügbar.
In der letzten Woche hat Facebook einige Details veröffentlicht, wie sie Nutzer vor Spam schützen und versuchen die Plattform sauber zu halten. Das eigene System, welches auf den Namen “Facebook Immune System (FIS)” hört, überprüft laut eigenen Angaben bis zu 650.000 Useraktionen auf Facebook in der Sekunde(!) und kommt mit 25 Milliarden Aktionen pro Tag klar.
Ein Team von 30 Personen welches sich um das Facebook Immune System kümmert lässt dabei nichts unversucht Spam und Attacken auf die Plattform möglichst schnell zu erkennen, obwohl gerade mal 1% der Facebook Nutzer Spam melden. Das System existiert nun inzwischen über drei Jahre und versucht laut TheNextWeb auch mit dem steigenden Anteil sogenannter Social Bots klar zu kommen. Die programmierten Social Bots verhalten sich dabei wie User haben allerdings das Ziel möglichst viele Freunde zu generieren und so nicht nur Spam zu verbreiten sondern auch die Daten dieser Freunde zu sammeln. Leider nehmen etwa 20% der Facebook Nutzer diese Freundschaftsanfragen von Unbekannten an.
"High-level design of the Immune System" - So funktioniert es! Im PDF die Details dazu 
Bei Microsoft haben wir das Dokument mit allen Details zum Facebook Immune System gefunden. Es handelt sich dabei nicht etwa um eine aufgehübschte Produktfinformation sondern um ein detaillierten Bericht zum System. Hier der Download:
Facebook Immune System
PDF 280kb (Share & Embed via Scribd)
Oder direkt hier im Blog lesen: (weiterlesen …)
