Hintertür in Facebook erlaubt massenhaftes Sammeln von Nutzerdaten

Reza Moaiandin, technischer Direktor der Suchmarketingfirma Salt, hat eine Hintertüre entdeckt, die es ihm erlaubt, massenhaft persönliche Daten von Facebook-Nutzern zu sammeln. Das Leck kompromittiert ihm zufolge den Datenschutz des Social Network und ebnet den Weg für Betrugsmaschen. „Wenn keine Grenze gesetzt wird und die Hintertür von der falschen Person entdeckt wird, dann könnte das ein großes Phishing-Problem sein“, schreibt der Programmierer in seinem Blog.

Das Schlupfloch habe er nur „versehentlich“ gefunden, während er mit einer Funktion experimentiert habe, die es Nutzern erlaube, auf Facebook Personen anhand ihrer Telefonnummer zu finden. Die Option „Wer kann nach mir suchen?“ sei ab Werk auf „Alle“ eingestellt, was bedeute, dass jeder nach einer Telefonnummer suchen könne.

Diese Einstellung gelte sogar für Nutzer, die ihre Telefonnummer nicht in ihrem öffentlichen Profil anzeigten, so Moaiandin weiter. Um Telefonnummern auch von der öffentlichen Suche auszuschließen, müsse bei „Wer kann nach mir suchen?“ am besten „Freunde“ ausgewählt werden.

Moaiandin nutzte nach eigenen Angaben ein Skript, um tausende Handynummern pro Sekunde zu generieren. Danach durchsuchte er das Social Network mit einem Interface, das es Anwendungen erlaubt, auf Facebook-Daten zuzugreifen. Als Ergebnisse erhielt er zu den Handynummern passende Profilnamen und –bilder sowie Standortdaten und weitere Informationen.

Das Skript wiederum sei in der Lage, alle möglichen Telefonnummern eines Landes zu erzeugen, so Moaiandin weiter. Getestet habe er dies mit den USA, Großbritannien und Kanada.

Die abgefragten Daten haben die Facebook-Mitglieder zwar selber öffentlich gemacht, mithilfe von Moaiandins Skript können Betrüger sie aber zu einer riesigen Datenbank zusammenfassen. Facebook machte er im April und um Juli auf die Lücke aufmerksam. Das Unternehmen stufte sie aber weder als Sicherheits- noch als Datenschutzproblem ein. Facebook drosselt stattdessen nach eigenen Angaben die Rate derartiger Abfragen, was aber offenbar keine Auswirkungen auf das von Moaiandin entwickelte Verfahren hatte. „Facebook sollte das Problem lösen können, indem es die Anfragen von einem einzelnen Nutzer einschränkt und Muster erkennt“, ergänzte Moaiandin.

Das Social Network verweist indes auf seine strengen Regeln für den Zugriff von Entwicklern auf Nutzerdaten sowie Tools zur Überwachung des Netzwerkverkehrs. Zudem könne jeder Nutzer den Zugriff auf seine Daten in den Privatsphäreeinstellungen regeln. „Die Privatsphäre der Leute, die Facebook nutzen, ist uns sehr wichtig“, heißt es in einer Stellungnahme des Unternehmens.

Facebooks Umgang mit Nutzerdaten wird von Datenschutzern immer wieder kritisiert. Hierzulande hatte der Hamburgische Datenschutzbeauftragte zuletzt die Zulassung von Pseudonymen gefordert. Die vom Wiener Juristen Max Schrems an seinem Wohnsitz eingereichte Datenschutzklage wurde indes Anfang Juli abgewiesen, allerdings nicht aus inhaltlichen, sondern aus formellen Gründen.

[mit Material von Matthew Broersma, TechWeekEurope]

Tipp: Sind Sie ein Facebook-Experte? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

HIGHLIGHT

Praxis-Workshop: Samsung S6 und S6 Edge in Active Directory einbinden

In Samsung S6 und S6 Edge-Geräten ist Samsung Knox 2.4 integriert. Unternehmen, die auf Active Directory setzen und parallel auf Samsung-Smartphones, können Samsung Knox an Active Directory anbinden.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

5 Tagen ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

1 Woche ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

1 Woche ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

1 Woche ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

1 Woche ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

1 Woche ago