Facebook Login: Hacker kapern Nutzerdaten

Hacker haben offenbar eine Möglichkeit gefunden, per Facebook Login Daten von Nutzern des Social Network zu stehlen. Eine entsprechende Untersuchung von Sicherheitsforschern hat das Unternehmen auf Nachfrage von TechCrunch bestätigt. Demnach nutzen die Datendiebe auf JavaScript basierende Tracker von Drittanbietern, die sie in Websites einbetten, die Facebook Login unterstützen.

Unter anderem haben Unbefugte so Zugriff auf Informationen wie Namen, E-Mail-Adressen, Altersgruppe, Geschlecht, Sprache und Profilfoto. Der Umfang der Daten ist davon abhängig, welche Details ein Nutzer mit der Seite teilt, die Facebooks Anmeldedienst integriert.

Unklar ist offenbar, was die Hintermänner mit den Daten machen. Die Anbieter der Tracker, darunter Tealium, AudienceStream, Lytics und ProPS bieten auf Basis solcher Daten Dienste zur Monetisierung von Inhalte an.

Entdeckt wurden die schädlichen Skripte von Forschern von Freedom To Tinker des Center for Information Technology Policy an der Princeton University. Sie fanden sich demnach in 434 der am häufigsten Besuchten Websites weltweit. Unter anderem sind die Freelancer-Seite Fiverr.com, die Seite des Cloud-Datenbank-Anbieters MongoDB und auch das Musikportal BandsInTown betroffen.

MongoDB teilte inzwischen mit, man habe das Skript entfernt und auch dessen Quelle identifiziert. Von der Existenz des Skripts habe man indes nichts gewusst. Auch BandsInTown beteuert in einer Stellungnahme, dass es keine Daten unerlaubt an Dritte weitergebe. Zudem sei die mögliche Schwachstelle in einem Skript geschlossen worden.

Steven Englehardt von Freedom To Tinker weist darauf hin, dass es nicht ausreichend ist, der Website zu vertrauen, die Facebook Login anbietet. „Wenn ein Nutzer einer Seite den Zugriff sein Social-Media-Profil gewährt, vertraut er nicht nur der Seite, sondern auch allen Dritten, die auf der Seite eingebettet sind.“

Facebook wirft der Forscher vor, nicht genug getan zu haben, um diese Exploits zu finden. Laut TechCrunch verbessert Facebook derzeit die Kontrollen seiner Programmierschnittstellen – vor allem als Reaktion auf den Datenskandal um Cambridge Analytica und die Daten-App des Forschers Aleksandr Kogan.

Facebook bietet seinen Anmeldedienst Login nicht nur für Webseiten an, sondern auch für iOS und Android. Das Unternehmen verspricht Entwicklern, dass sich deren Nutzer „sicher, schnell und einfach“ anmelden können. Ob die Änderungen, die Facebook im Zusammenhang mit der Datenschutzgrundverordnung angekündigt hat, das Datenleck schließen, ist nicht bekannt.

Tipp: Sind Sie ein Facebook-Experte? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.