Facebook: Zynga - 232 Millionen User gefährdet!

Wir haben die Betreiber und Spieleentwickler bei "Zynga" über kritische Sicherheitsprobleme informiert, die uns bereits beim einfachen Nutzen der Internetangebote aufgefallen sind. Aufgrund der enormen Gefahr haben wir auch einen genaueren Blick in den Quellcode, sowie diverse Funktionen des Spieleanbieters geworfen. Unsere einfachen Überprüfungen und Recherchen bestätigten bereits nach kurzer Zeit eine erhebliche Gefahr für die Nutzer des Spieleanbieters.

Zynga gehört durch diverse Online-Spiele bei Facebook, wie etwa dem weltbekannten FarmVille, CityVille, Mafia Wars und Anderen, sowie mit monatlich über 232 Millionen Nutzern, zu den "Größen" der sozialen Netzwerke. Zynga ist ein US-amerikanisches Unternehmen, das Browserspiele betreibt, die sowohl innerhalb Sozialer Netzwerke, wie Facebook und Myspace, als auch auf den unternehmenseigenen Webseiten gespielt werden können. Die bekanntesten Spiele sind FarmVille, Mafia Wars, FrontierVille, CityVille, ZyngaPoker und CaféWorld. Einnahmen erwachsen dem Unternehmen aus dem Verkauf virtueller Währungen, die innerhalb des Spieles für virtuelle Güter oder schnelleres Vorankommen genutzt werden können. (Quelle: Wikipedia)

Diverse Schwachstellen innerhalb des Internetportals sind derzeit für eine erhebliche Gefährdung der Nutzer und auch des Unternehmens verantwortlich. Wir konnten diverse Angriffsmethoden simulieren und auch einen gezielten Phishing-Angriff durch eine der Schwachstellen demonstrieren. Ein Angreifer könnte unbemerkt, geschützte Informationen des Nutzers ausspähen oder dessen Computer mit Malware infizieren. Über eine eigens entwickelte Testmethode, die wir "Happy Guy Attack" nennen, konnten wir die Kontrollübernahme des Facebookprofils, sowie sämtliche, sensible Informationen des Nutzers erreichen. Eine derartige Attacke spielt sich im Hintergrund ab, während der Benutzer nichts von dem Vorgang bemerkt. Natürlich passierten die Tests mit speziell dafür eingerichteten Profilen und im rechtlich unbedenklichen Rahmen (auch wir müssen uns an Regeln halten). Das Zynga Portal selbst ist aufgrund veralteter Software und schätzungsweise Vernachlässigung des Servers, von diversen Schwachstellen betroffen. Genauere Informationen können wir aber aus Sicherheitsgründen an dieser Stelle nicht preisgeben.

Wir raten den Nutzern des Spieleangebots von Zynga, möglichst auf den eigenen Schutz zu achten, die genutzte Sicherheitssoftware, sowie das Betriebssystem, den Webbrowser und ggf. vorhandene Browsererweiterungen auf den aktuellsten Stand zu bringen. Zudem sollten Nutzer unbedingt darauf verzichten, Links zu den Spielen bzw. zum Portal von Zynga anzuklicken, sondern lieber direkt die URL in die Adresszeile eingeben. Aufgrund bekannter XSS Schwachstellen sollten auch Browsererweiterungen wie zum Beispiel "NoScript" eingesetzt werden. 

Wie bereits erwähnt wurden die Betreiber über die Problematik informiert. Wir warten derzeit auf eine Rückmeldung mit entsprechenden Kontaktinformationen, um detaillierte Berichte übersenden zu können. Um das Potential der entdeckten Schwachstellen exakt einschätzen und ggf. weitere Schwachstellen aufdecken zu können, bieten wir den Betreibern auch einen ausführlichen Sicherheitstest an. Natürlich werden wir an dieser Stelle über das weitere Vorgehen informieren und nach dem Beheben der Probleme, entsprechende Entwarnung geben.