Sicherheitsforscher liest Daten von über 100 Millionen Facebook-Accounts aus

Sie stehen bei BitTorrent zum Download. Ron Bowes' Programm könnte angeblich auch Kreditkartendaten auslesen. Dem Forscher fehlt dazu die Bandbreite. Facebook zufolge handelt es sich ausschließlich um ohnehin öffentliche Informationen.

von Florian Kalenda und Sibylle Gaßner am 29. Juli 2010 , 16:44 Uhr

Der Sicherheitsexperte Ron Bowes hat ein seiner Ansicht nach „beängstigendes Datenschutzproblem“ bei Facebook entdeckt und eine drastische Maßnahme gewählt, um darauf aufmerksam zu machen. Er bietet eine Liste mit 171 Millionen Facebook-Einträgen von über 100 Millionen Anwendern zum Download an. Somit ist mehr als ein Fünftel der Facebook-Nutzer betroffen.

Bowes hat mit Hilfe eines speziellen, aber einfach gestrickten Programms aus dem offiziellen Facebook-Verzeichnis die Namen und zugehörigen Links von US-Nutzerkonten ausgelesen und in eine Datenbank übertragen. Detaillierte Informationen zu Kontakten oder Vorlieben konnte das Crawler-Programm jedoch nicht sammeln. Bowes fehlt dazu die Bandbreite.

Das könnte sich allerdings bald ändern, denn er schreibt in seinem Blog auf Skullsecurity.org: „Ich würde das in der Zukunft angehen, wenn also irgendjemand Bandbreite zur Verfügung hat und spenden will, brauche ich nur einen ssh-Account und ein installiertes Nmap.“

Als Beweis für die Machbarkeit hat der Experte ein erstes Infopaket geschnürt. Eine insgesamt 10 Gigabyte große Datenbank mit 170 Millionen Einträgen landete im Tauschnetz BitTorrent. Im Paket ist auch das eigentliche Crawler-Programm enthalten. Aktuell befinden sich über 10.000 Komplettkopien im Netz.

Facebook bemüht sich, das Problem klein zu reden: „In diesem Fall hat ein einzelner Forscher Informationen gesammelt, bei denen die Leute zugestimmt haben, dass sie öffentlich zugänglich sind“, sagte eine Facebook-Sprecherin. Die Informationen hätten auch Suchmaschinen erfasst. Es seien keine persönlichen Daten gefährdet worden.

Da Facebook darauf besteht, das Nutzer Klarnamen verwenden, ist dennoch Identitätsdiebstahl im großen Stil möglich. Bowes‘ Programm lässt sich zudem so anpassen, dass es nur bestimmte Profile absaugt, beispielsweise alle aus einer bestimmten Region. Außerdem könnten Online-Gauner die Technik auch für Spam- oder Phishing-Aktionen nutzen.

Es ist nicht das erste Mal, dass Nutzerdaten von Sozialen Netzwerken ausgelesen werden. Diese Sites können sich gegen Sammelaktionen von öffentlichen Daten kaum schützen – vor allem dann nicht, wenn sie – wie Facebook – auch mit Suchmaschinenbetreibern wie Google zusammenarbeiten. Facebook steht schon länger für seinen Umgang mit persönlichen Daten im Kreuzfeuer der Kritik.