Aktualisiert 19.08.2013 14:22

Löchrige PinnwandFacebook-Hacker legt sich mit Zuckerberg an

Ein arbeitsloser Programmierer entdeckt eine Sicherheitslücke bei Facebook. Weil sein Hinweis ignoriert wird, hackt er kurzerhand das Profil von Facebook-Chef Mark Zuckerberg.

von
dsc
Der Screenshot von Mark Zuckerbergs Facebook-Profil zeigt den Eintrag des palästinensischen Sicherheitsexperten.

Der Screenshot von Mark Zuckerbergs Facebook-Profil zeigt den Eintrag des palästinensischen Sicherheitsexperten.

Eigentlich würde Khalil Shreateh ja eine stattliche Summe von Facebook zustehen. Denn der arbeitslose palästinensische Programmierer hat eine fiese Sicherheitslücke entdeckt und den Social-Media-Konzern darauf hingewiesen. Doch erstens kommt es anders, und zweitens als man denkt: So steht Khalil ohne Belohnung da – und er musste vorübergehend gar um sein Facebook-Profil kämpfen.

Was war passiert? Khalil hat nach Angaben in seinem Blog eine Methode entdeckt, um auf der Pinnwand von wildfremden Facebook-Nutzern Einträge zu veröffentlichen. Und zwar auch gegen den Willen der Betroffenen, also auch auf Profilseiten, die nur für befreundete Facebook-Nutzer zugänglich sind.

Den Facebook-Chef gehackt

Als sich der Palästinenser beim Sicherheitsteam von Facebook meldete, ging offenbar einiges schief. Die Zuständigen reagierten nur zögerlich und behaupteten zunächst, es handle sich gar nicht um einen Software-Fehler.

Daraufhin trat Khalil den Beweis an, indem er auf der Profilseite von Facebook-Chef Mark Zuckerberg einen Eintrag veröffentlichte. Darin schrieb er in holprigem Englisch: «Lieber Mark Zuckerberg, zunächst bitte ich Sie um Entschuldigung, dass ich Ihre Privatsphäre verletzt und an Ihre Pinnwand geschrieben habe. Aber ich hatte keine andere Wahl, nachdem ich all die Berichte ans Facebook-Team geschickt habe. Mein Name ist Khalil, aus Palästina.»

Nur Minuten später reagierte Facebook – und sperrte Khalils Profil. Angeblich als Vorsichtsmassnahme, wie man ihm erklärte. Ein Mitarbeiter nahm wenig später im Hacker-News-Forum schriftlich Stellung zu dem Vorfall. Die Sicherheitslücke habe tatsächlich bestanden und sei mittlerweile geschlossen worden. Man hätte Khalils Warnung ernster nehmen müssen, räumte der Facebook-Mitarbeiter ein. Allerdings habe der Mann die Sicherheitslücke in seinem Schreiben zu wenig genau dokumentiert.

Keine Prämie

Den grössten Fehler beging der findige Programmierer aber offenbar, als er die Sicherheitslücke in der freien Wildbahn ausprobierte. Indem er auf fremden Profilseiten Einträge veröffentlichte, verstiess er gegen die Nutzungsbestimmungen des weltgrösssten Online-Netzwerks. Darum könne ihm Facebook auch nicht die Prämie ausbezahlen, wie dies üblicherweise bei gemeldeten Bugs gemacht wird, hiess es.

Auf seiner Website ermuntert Facebook Sicherheitsexperten und sogenannte White-Hat-Hacker, das Unternehmen auf Fehler aufmerksam zu machen. Als minimale Belohnung winken 500 Dollar, allerdings müssen Teilnehmer des Bug-Bounty-Programms verschiedene Bedingungen berücksichtigen. Laut Facebook gehen täglich Hunderte von Hinweisen ein, viele davon seien Nonsens.

Deine Meinung

Fehler gefunden?Jetzt melden.