Reza Moaiandin, technischer Direktor der Suchmarketingfirma Salt, hat eine Hintertüre entdeckt, die es ihm erlaubt, massenhaft persönliche Daten von Facebook-Nutzern zu sammeln. Das Leck kompromittiert ihm zufolge den Datenschutz des Social Network und ebnet den Weg für Betrugsmaschen. „Wenn keine Grenze gesetzt wird und die Hintertür von der falschen Person entdeckt wird, dann könnte das ein großes Phishing-Problem sein“, schreibt der Programmierer in seinem Blog.
Das Schlupfloch habe er nur „versehentlich“ gefunden, während er mit einer Funktion experimentiert habe, die es Nutzern erlaube, auf Facebook Personen anhand ihrer Telefonnummer zu finden. Die Option „Wer kann nach mir suchen?“ sei ab Werk auf „Alle“ eingestellt, was bedeute, dass jeder nach einer Telefonnummer suchen könne.
Diese Einstellung gelte sogar für Nutzer, die ihre Telefonnummer nicht in ihrem öffentlichen Profil anzeigten, so Moaiandin weiter. Um Telefonnummern auch von der öffentlichen Suche auszuschließen, müsse bei „Wer kann nach mir suchen?“ am besten „Freunde“ ausgewählt werden.
Moaiandin nutzte nach eigenen Angaben ein Skript, um tausende Handynummern pro Sekunde zu generieren. Danach durchsuchte er das Social Network mit einem Interface, das es Anwendungen erlaubt, auf Facebook-Daten zuzugreifen. Als Ergebnisse erhielt er zu den Handynummern passende Profilnamen und –bilder sowie Standortdaten und weitere Informationen.
Das Skript wiederum sei in der Lage, alle möglichen Telefonnummern eines Landes zu erzeugen, so Moaiandin weiter. Getestet habe er dies mit den USA, Großbritannien und Kanada.
Die abgefragten Daten haben die Facebook-Mitglieder zwar selber öffentlich gemacht, mithilfe von Moaiandins Skript können Betrüger sie aber zu einer riesigen Datenbank zusammenfassen. Facebook machte er im April und um Juli auf die Lücke aufmerksam. Das Unternehmen stufte sie aber weder als Sicherheits- noch als Datenschutzproblem ein. Facebook drosselt stattdessen nach eigenen Angaben die Rate derartiger Abfragen, was aber offenbar keine Auswirkungen auf das von Moaiandin entwickelte Verfahren hatte. „Facebook sollte das Problem lösen können, indem es die Anfragen von einem einzelnen Nutzer einschränkt und Muster erkennt“, ergänzte Moaiandin.
Das Social Network verweist indes auf seine strengen Regeln für den Zugriff von Entwicklern auf Nutzerdaten sowie Tools zur Überwachung des Netzwerkverkehrs. Zudem könne jeder Nutzer den Zugriff auf seine Daten in den Privatsphäreeinstellungen regeln. „Die Privatsphäre der Leute, die Facebook nutzen, ist uns sehr wichtig“, heißt es in einer Stellungnahme des Unternehmens.
Facebooks Umgang mit Nutzerdaten wird von Datenschutzern immer wieder kritisiert. Hierzulande hatte der Hamburgische Datenschutzbeauftragte zuletzt die Zulassung von Pseudonymen gefordert. Die vom Wiener Juristen Max Schrems an seinem Wohnsitz eingereichte Datenschutzklage wurde indes Anfang Juli abgewiesen, allerdings nicht aus inhaltlichen, sondern aus formellen Gründen.
[mit Material von Matthew Broersma, TechWeekEurope]
Tipp: Sind Sie ein Facebook-Experte? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
In Samsung S6 und S6 Edge-Geräten ist Samsung Knox 2.4 integriert. Unternehmen, die auf Active Directory setzen und parallel auf Samsung-Smartphones, können Samsung Knox an Active Directory anbinden.
Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…
Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…
Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.
Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…
Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…
Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…