Facebook: Sicherheitslücke erlaubt Phising-Attacken

Über die Schwachstelle in Facebook können Hacker persönliche Daten wie Telefonnummer, Name, Wohnort oder gar Fotos erspähen. Facebook hat die Sicherheitslücke bislang nicht geschlossen. Um vor Phishing-Attacken sicher zu sein, sollten Nutzer unter „Wer kann nach mir suchen?“ die Option „Freunde“ wählen.

Im Sozialen Netzwerk Facebook wurde ein Sicherheitsleck entdeckt, dass ein massenhaftes Abgreifen von persönlichen Daten von Facebook-Mitgliedern möglich macht. Die Lücke hat der technische Direktor des Suchmarketingunternehmens Salt, Reza Moaiandin, entdeckt, wie er in seinem Blog schreibt. Hacker könnten mithilfe einer Facebook-API über die Schwachstelle die IDs von Facebook-Nutzern erschnüffeln und an die persönlichen Daten wie Name, Telefonnummer, Wohnort oder gar Fotos von Millionen Anwendern herankommen.

Facebook Einstellungen (Screenshot: ZDNet.de)

Über die Schwachstelle in Facebook können Hacker persönliche Daten wie Telefonnummer, Name, Wohnort oder gar Fotos erspähen. Facebook hat die Sicherheitslücke bislang nicht geschlossen. Um vor Phishing-Attacken sicher zu sein, sollten Nutzer unter „Wer kann nach mir suchen?“ die Option „Freunde“ wählen (Screenshot: ZDNet.de).

Auf die Sicherheitslücke ist Moaiandin aus Versehen gestoßen. Er habe nicht explizit nach einer Schwachstelle in Facebook gesucht, sondern nur mit einer Funktion experimentiert, die es Anwendern erlaubt, Facebook-Mitglieder anhand ihrer Telefonnummer zu finden. Die Schwachstelle hängt mit der Option „Wer kann nach mir suchen?“ zusammen. Laut Moaiandin steht die Einstellung ab Werk auf „Alle“. Das bedeutet, dass von jedem Nutzer nach der Telefonnummer gesucht werden kann. Diese Einstellung gelte sogar für Nutzer, die ihre Telefonnummer nicht in ihrem öffentlichen Profil anzeigen lassen, so Moaiandin weiter. Nur wenn die Einstellung „Freunde“ ausgewählt wurde, taucht die Telefonnummer nicht in der Suche auf.

Mit einem speziellen Skript, das tausende zufällige Handynummern pro Sekunde generiert, machte sich der Programmierer anschließend auf die Suche nach Telefonnummern von Nutzern. Das Skript konnte alle möglichen Telefonnummern eines Landes erzeugen. Getestet hat Moaiandin Nummern aus den USA, Großbritannien und Kanada. Mit Hilfe eines Interface, dass mit Facebooks GraphQL kommuniziert, ließen sich die gefundenen Telefonnummern mit den persönlichen Daten der Facebook-Mitglieder in Verbindung bringen. Zu den Telefonnummern erhielt er passende Profilnamen und –bilder sowie Standortdaten und weitere Informationen.

Die abgefragten Daten haben die Facebook-Mitglieder zwar selber öffentlich gemacht, mithilfe von Moaiandins Skript können Betrüger sie aber zu einer riesigen Datenbank zusammenfassen. „Wenn keine Grenze gesetzt wird und die Hintertür von der falschen Person entdeckt wird, dann könnte das ein großes Phishing-Problem sein“, schreibt der Programmierer in seinem Blog.

Facebook machte er im April und Juli auf die Lücke aufmerksam. Das Unternehmen stufte sie aber weder als Sicherheits- noch als Datenschutzproblem ein. Facebook drosselt stattdessen nach eigenen Angaben die Rate derartiger Abfragen, was aber offenbar keine Auswirkungen auf das von Moaiandin entwickelte Verfahren hatte. „Facebook sollte das Problem lösen können, indem es die Anfragen von einem einzelnen Nutzer einschränkt und Muster erkennt“, ergänzte Moaiandin.

Das Social Network verweist indes auf seine strengen Regeln für den Zugriff von Entwicklern auf Nutzerdaten sowie Tools zur Überwachung des Netzwerkverkehrs. Zudem könne jeder Nutzer den Zugriff auf seine Daten in den Privatsphäreeinstellungen regeln. „Die Privatsphäre der Leute, die Facebook nutzen, ist uns sehr wichtig“, heißt es in einer Stellungnahme des Unternehmens.

[Mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Facebook-Experte? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Autor: Christian Schartel
Christian Schartel Christian Schartel Christian Schartel

Neueste Kommentare 

Noch keine Kommentare zu Facebook: Sicherheitslücke erlaubt Phising-Attacken

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *