Satte 33.500 US-Dollar bekam ein brasilianischer Sicherheitsforscher jetzt von Facebook. Der Mann hatte eine Sicherheitslücke gefunden und wurde gleich mit der bisher höchsten für solche Entdeckungen dotierten Summe belohnt. In der Implementierung des Authentifizierungssystems OpenID fand der Reginaldo Silva den wunden Punkt. Zig Hacker hätten hier ohne diese Entdeckung ein leichtes Spiel gehabt und jederzeit freien Zugriff, unter anderem auf die Passwort-Datenbank von Facebook haben können. Keine schönen Aussichten für Facebook, im schlimmsten Fall hätten Daten gestohlen oder verändert werden können. Facebook und die betreffenden User wären machtlos gewesen.

Facebook greift für Sicherheitslücke tief in die Tasche

Sicherheitslücke bei OpenID

Bei OpenID handelt es sich um ein Authentifizierungssystem, das auf offener Technologie basiert. Nutzer sind somit in der Lage, bei einem beliebigen Anbieter eine Registrierung vornehmen und dieses Benutzer-Konto dann auch für andere Dienste zu nutzen.

Haben User ihr Passwort vergessen, muss vorab eine Identitätsprüfung in die Wege geleitet werden. Dies können Facebook und Co. bei einem Provider vornehmen. Ein XML-Dokument bestätigt das dann, allerdings kann genau dieses Dokument auch gefälscht werden. Die XML-Schwachstelle der URI des Absenders ist somit manipulierbar.

Facebook war somit sehr empfänglich für DDoS-Attacken. Jeder Hacker hätte ein leichtes Spiel und somit freien Zugriff zum Beispiel auf das lokale Dateisystem eines Anmeldservers haben können.

Brasilianischer Sicherheitsforscher deckt auf

Seit knapp zwei Jahren beschäftigt sich der brasilianische IT-Sicherheitsspezialist Reginaldo Silva mit OpenID. Nun konnte er genau diese Sicherheitslücke bei Facebook finden. So hatte Silva teilweise Zugriff auf die Facebook-Konten einiger Nutzer.

Auch die Speicherplätze der Stammverzeichnisse auf dem Server waren für den Fachmann sichtbar. An diesem Punkt angelangt informierte der Sicherheitsforscher dann aber Facebook.

Zum passenden Zeitpunkt entschied Silva diese Sicherheitslücke zu melden und holte sich gleichzeitig die Erlaubnis von Facebook, um weitere Prüfungen vornehmen zu dürfen und bei Facebook machte man sich laut Medienberichten sofort daran, die Sicherheitslücke zu schließen.

Auch andere Unternehmen betroffen

Der XML-Parser wurde dann so konfiguriert, dass keine externen Objekte mehr geladen werden konnten. Durch eine Prüfung der Log-Dateien von Facebook konnte der Experte außerdem gleich feststellen, ob Hacker es hier bereits versucht hatten.

Facebook hatte Glück im Unglück, es konnten keine Fremdzugriffe entdeckt werden. Die Sicherheitslücke war anscheinend noch nicht gefunden worden. Nicht nur Facebook arbeitet mit OpenID. Auch andere große Unternehmen wie Google nutzen dieses System schon lange. Weil die Sicherheitslücke primär die Software von OpenID betrifft, sind alle anderen Firmen, die darauf vertrauen, ebenfalls gefährdet.

Google soll die Sicherheitslücke wie Facebook auch bereits geschlossen haben. Reginaldo Silva dürfte sich für seine Entdeckung indes freuen, denn mit 33.500 US-Dollar bekommt er von Facebook so viel Geld wie bisher noch kein anderer, der etwas Ähnliches entdeckt hatte.