20.08.2013, 12:45 Uhr | 0 |

Soziales Netzwerk ignorierte Warnung Programmierer demonstriert Sicherheitslücke bei Facebook

Facebook ignorierte die Fehlermeldung eines IT-Fachmanns, der eine Sicherheitslücke gefunden hatte. Der junge Programmierer hackt sich daraufhin in das Konto von Mark Zuckerberg höchstpersönlich und demonstriert dem Facebook-Chef das Problem.

Screenshot von Mark Zuckerbergs Seite zum Zeitpunkt, an dem Shreateh dort gepostet hatte.
Á

Screenshot von Mark Zuckerbergs Seite zum Zeitpunkt, an dem Shreateh dort gepostet hatte.

Foto: Blog Khalil Shreateh

Innerhalb weniger Tage hat es Khalil Shreateh im sozialen Netzwerk Facebook vom Nobody zu einem gewissen Prominentenstaus gebracht. Der IT-Spezialist aus Palästina hatte eine Sicherheitslücke von einiger Bedeutung bei Facebook entdeckt. Durch den aufgespürten Fehler konnte Shreateh Einträge an die Pinnwände von jedem beliebigen Facebook-Nutzer schreiben, egal ob er mit ihm befreundet war oder nicht.

In den Sicherheitseinstellungen von Facebook soll dies eigentlich ausgeschlossen werden, damit die Privatsphäre der Mitglieder gewahrt bleibt. Die meisten Facebook-Nutzer wählen ihre Einstellungen so, dass nur die von ihnen akzeptierten Freunde direkt auf die eigene Timeline posten können.

Fehlermeldungen wurden von Facebook zunächst ignoriert

Shreateh, der einen Weg gefunden hatte, die Sicherheitseinstellungen zu umgehen, freute sich. Nicht nur, dass er einen bedeutenden Fehler gefunden hatte, sondern auch weil er sich dafür eine Belohnung von 500 Dollar erhoffte. Diese Summe spendiert Facebook für jeden angezeigten Systemfehler. Für den seit zwei Jahren arbeitslosen 30-jährigen Programmierer aus Palästina war das Geld, das er gut hätte gebrauchen können. Aber ganz so einfach sollte es leider doch nicht werden, denn als Shreateh die Meldung an das Facebook-Sicherheitsteam „Whitehat“ losgeschickt hatte, wollte ihm zunächst niemand glauben. Die lapidare Antwort von einem Sicherheitsmitarbeiter lautete: „Tut mir leid, das ist kein Fehler.“

Das wiederum war für Shreateh schwer verständlich, denn immerhin hatte er seine Entdeckung an der Pinnwand von Sarah Goodin bereits erfolgreich ausprobiert. Goodin ist eine gute Freundin von Zuckerberg, aber nicht mit Khalil Shreateh befreundet, so dass er auf ihrer Timeline eigentlich nichts zu suchen hatte. Als die Facebook-Mitarbeiter die Tragweite von Shreatehs Treiben immer noch nicht recht begreifen wollten, wurde der Programmierer deutlich. Man könne ihm auch einen Test-Account zur Verfügung stellen, damit er demonstrieren könne, wie leicht er auf fremde Seiten posten könne. Oder er könne auf Marks Seite schreiben, aber das wolle er nicht, denn er respektiere die Privatsphäre anderer Menschen.

Als das Sicherheitsteam des Konzerns weiterhin stur blieb und auch die letzte Warnung des palästinensischen Programmierers ignorierte, platzte diesem der Kragen. Er hackte sich auf die Pinnwand des Facebook-Chefs ein und hinterließ dort eine Nachricht: „Lieber Mark Zuckerberg, zunächst bitte ich Sie um Entschuldigung, dass ich Ihre Privatsphäre verletzt und an ihre Pinnwand geschrieben habe. Aber ich hatte keine andere Wahl, nachdem ich all die Berichte ans Facebook-Team schickte. Mein Name ist Khalil, ich komme aus Palästina.“

Keine Prämie für Khalil Shreateh

Nun ging alles sehr schnell, innerhalb weniger Minuten war Shreatehs Facebook-Konto gesperrt. Rein als Vorsichtsmaßnahme, wie ein Mitarbeiter des Sicherheitsteams erklärte. Die Kontoschließung wurde denn auch bald wieder rückgängig gemacht, nachdem Shreateh dem „Whitehat“-Team seinen Programmier-Trick erklärt hatte und die Sicherheitslücke noch am selben Tag geschlossen werden konnte.

Die 500 Dollar Prämie soll Khalil Shreateh nun aber doch nicht bekommen. Zwar gibt Facebook zu, dass man die Warnungen des Programmierers ernster hätte nehmen müssen, aber seine Informationen seien ungenügend gewesen. Außerdem habe er gegen die Bestimmungen verstoßen, die für die Auszahlung der Belohnung vorausgesetzt werden. Nach diesen Bestimmungen hätte der Hacker seinen Fehler nur an Testseiten, aber nicht an echten Profilseiten demonstrieren dürfen.

Auf der Facebook-Seite von Khalil Shreateh, der dort mit einem Profifoto des amerikanischen Computerspezialisten und „Whistleblowers“ Edward Snowden auftritt, häufen sich derweil die entrüsteten Kommentare über die Zahlungsunwilligkeit von Facebook. „Das nächste Mal“, schreibt ein Kommentator, „verkaufst du deine Informationen einfach auf dem Schwarzmarkt.“ 

Anzeige
Von Gudrun von Schoenebeck
Zur StartseiteZur Startseite
schlagworte: 
kommentare

Aktuell wurden noch keine Kommentare zu diesem Artikel abgegeben. Loggen Sie ich ein oder melden Sie sich neu an, wenn Sie noch keine Zugangsdaten haben
> Zum Login     > Neu anmelden