Update: Lücke ist geschlossen, mehr Infos weiter unten. Es gibt ein sehr unschönes Problem in der Verarbeitung von privaten Nachrichten im Facebook Seitenmanager. Fotos, die ein Seiten-Admin innerhalb einer privaten Nachricht verschickt werden direkt öffentlich auf der Facebook-Seite gezeigt.
Der Facebook Seitenmanager erlaubt es den Admins von Facebook-Seiten auch von ihren mobilen Geräten aus zu verwalten und dort auch auf private Nachrichten von Nutzern zu antworten. AndroidPolice beschreibt ein unter Umständen ernsthaftes Problem mit dieser Funktion. Vom Admin an eine solche private Nachricht angehängte Bilder bleiben nämlich nicht privat. Joann MacDonald machte AndroidPolice auf das Problem aufmerksam – und genau mit einem Bild, das auf jeden Fall nicht auf der Pinnwand der Seite hätten landen sollen:
I sent a PayPal screen dump to a customer who thought her payment never went through, and went straight to my page showing her name, address and value of order and payment status. It’s caused me major stress as you can imagine.
Facebook reagierte bislang nicht auf Anfragen zu dem Problem, deswegen entschied man sich bei AndroidPolice, das Problem komplett öffentlich zu machen.
So kann das nachvollzogen werden:
- Ein User schickt eine Nachricht an die Seite, hängt an diese auch ein Bild an – das Bild bleibt wie erwartet privat innerhalb der Konversation
- Ein Seiten-Admin antwortet über den Facebook Seitenmanager auf die Nachricht und hängt ebenfalls ein Bild an die Nachricht und
- dieses Bild des Seiten-Admins ist dann öffentlich auf der Facebook-Seite zu sehen.
Betroffen ist von dem Problem offenbar nur die Android-Version des Facebook Seitenmanagers zu sein, zumindest war es uns nicht möglich das Problem mit der iOS-Variante zu reproduzieren.
Update: Facebook hat die Lücke serverseitig geschlossen, privat gesendete Bilder bleiben jetzt also auch privat. Facebook hat dazu folgendes geschrieben:
Hi Artem,
To update, we had engineers working through most of the night (California time) on this and they deployed a server-side fix within hours of getting the report. This patch stops the problem for anyone using the app without them needing to update. We’re currently checking for any photos that were posted due to this bug and plan on taking them down once they’re confirmed.
When it comes to the timeframe, this issue was introduced after a server-side change about a week ago. We’ll certainly be performing a thorough review to investigate how all of this happened and help ensure that it doesn’t happen again.
Thanks for the feedback on the whitehat page; we’ve worked to raise awareness of it among security researchers, but we’ll look at taking more steps to make it easier to find for other users as well. There’s some overlap between security and privacy, and while this may not have been a vulnerability for an attacker to exploit, it’s certainly the sort of issue we’d want to know about. As the whitehat page indicates, we built it for reporting bugs „that could compromise the integrity of Facebook user data, circumvent the privacy protections of Facebook user data, or enable access to a system within the Facebook infrastructure“.
By the way, if you have any details on what avenues Joann used in trying to notify us of this, I’d definitely like to review those reports to understand why they weren’t picked up on sooner. We really appreciate her trying to get this fixed and want to ensure any future reports don’t get overlooked or delayed.
Thanks again for the heads-up,
Rory
Security
