Hintertür in Facebook erlaubt massenhaftes Sammeln von Nutzerdaten

Reza Moaiandin, technischer Direktor der Suchmarketingfirma Salt, hat eine Hintertüre entdeckt, die es ihm erlaubt, massenhaft persönliche Daten von Facebook-Nutzern zu sammeln. Das Leck kompromittiert ihm zufolge den Datenschutz des Social Network und ebnet den Weg für Betrugsmaschen. „Wenn keine Grenze gesetzt wird und die Hintertür von der falschen Person entdeckt wird, dann könnte das ein großes Phishing-Problem sein“, schreibt der Programmierer in seinem Blog.

Das Schlupfloch habe er nur „versehentlich“ gefunden, während er mit einer Funktion experimentiert habe, die es Nutzern erlaube, auf Facebook Personen anhand ihrer Telefonnummer zu finden. Die Option „Wer kann nach mir suchen?“ sei ab Werk auf „Alle“ eingestellt, was bedeute, dass jeder nach einer Telefonnummer suchen könne.

Diese Einstellung gelte sogar für Nutzer, die ihre Telefonnummer nicht in ihrem öffentlichen Profil anzeigten, so Moaiandin weiter. Um Telefonnummern auch von der öffentlichen Suche auszuschließen, müsse bei „Wer kann nach mir suchen?“ am besten „Freunde“ ausgewählt werden.

Moaiandin nutzte nach eigenen Angaben ein Skript, um tausende Handynummern pro Sekunde zu generieren. Danach durchsuchte er das Social Network mit einem Interface, das es Anwendungen erlaubt, auf Facebook-Daten zuzugreifen. Als Ergebnisse erhielt er zu den Handynummern passende Profilnamen und –bilder sowie Standortdaten und weitere Informationen.

Das Skript wiederum sei in der Lage, alle möglichen Telefonnummern eines Landes zu erzeugen, so Moaiandin weiter. Getestet habe er dies mit den USA, Großbritannien und Kanada.

Die abgefragten Daten haben die Facebook-Mitglieder zwar selber öffentlich gemacht, mithilfe von Moaiandins Skript können Betrüger sie aber zu einer riesigen Datenbank zusammenfassen. Facebook machte er im April und um Juli auf die Lücke aufmerksam. Das Unternehmen stufte sie aber weder als Sicherheits- noch als Datenschutzproblem ein. Facebook drosselt stattdessen nach eigenen Angaben die Rate derartiger Abfragen, was aber offenbar keine Auswirkungen auf das von Moaiandin entwickelte Verfahren hatte. „Facebook sollte das Problem lösen können, indem es die Anfragen von einem einzelnen Nutzer einschränkt und Muster erkennt“, ergänzte Moaiandin.

Das Social Network verweist indes auf seine strengen Regeln für den Zugriff von Entwicklern auf Nutzerdaten sowie Tools zur Überwachung des Netzwerkverkehrs. Zudem könne jeder Nutzer den Zugriff auf seine Daten in den Privatsphäreeinstellungen regeln. „Die Privatsphäre der Leute, die Facebook nutzen, ist uns sehr wichtig“, heißt es in einer Stellungnahme des Unternehmens.

Facebooks Umgang mit Nutzerdaten wird von Datenschutzern immer wieder kritisiert. Hierzulande hatte der Hamburgische Datenschutzbeauftragte zuletzt die Zulassung von Pseudonymen gefordert. Die vom Wiener Juristen Max Schrems an seinem Wohnsitz eingereichte Datenschutzklage wurde indes Anfang Juli abgewiesen, allerdings nicht aus inhaltlichen, sondern aus formellen Gründen.

[mit Material von Matthew Broersma, TechWeekEurope]

Tipp: Sind Sie ein Facebook-Experte? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

HIGHLIGHT

Praxis-Workshop: Samsung S6 und S6 Edge in Active Directory einbinden

In Samsung S6 und S6 Edge-Geräten ist Samsung Knox 2.4 integriert. Unternehmen, die auf Active Directory setzen und parallel auf Samsung-Smartphones, können Samsung Knox an Active Directory anbinden.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

23 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

23 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

1 Tag ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago