Facebook-Leck ermöglicht das umfassende Sammeln von Nutzerdaten

MarketingSoziale Netzwerke
Datenschutz (Bild: Shutterstock)

Das Schlupfloch findet sich in der Suche nach Facebook-Mitgliedern via Handynummer. Standardmäßig lässt es sich auch dann ausnutzen, wenn die Telefonnummer nicht öffentlich hinterlegt ist. Damit wären Betrüger in der Lage, eine komplette Profildatenbank zu erstellen.

Der technische Direktor der Suchmarketingfirma Salt, Reza Moaiandin, hat eine Backdoor gefunden, die es ihm ermöglicht, massenhaft persönliche Daten von Facebook-Anwendern zu aggregieren. Ihm zufolge kompromittiert die Hintertür den Datenschutz des Sozialen Netzwerks und bereitet Kriminellen dadurch den Weg für Betrugsmaschen. “Wenn keine Grenze gesetzt wird und die Hintertür von der falschen Person entdeckt wird, dann könnte das ein großes Phishing-Problem sein”, erklärt der Programmierer in einem Blogeintrag.

Er sei dabei nur “versehentlich” auf das Leck gestoßen, als er mit einer Funktion experimentiert habe, die es Anwendern erlaube, auf Facebook Mitglieder mittels ihrer Telefonnummer zu finden. Die Option “Wer kann nach mir suchen?” sei ab Werk auf “Alle” gesetzt. Das bedeute wiederum, dass jedermann nach einer beliebigen Telefonnummer suchen könne.

Die Einstellung gelte sogar für Nutzer, die ihre Telefonnummer nicht in ihrem öffentlichen Profil hinterlegt hätten, führt Moaiandin weiter aus. Um Telefonnummern auch von der öffentlichen Suche auszuklammern, müsse die Option “Wer kann nach mir suchen?” am besten auf “Freunde” eingestellt werden.

Nach eigenen Angaben verwendete Moaiandin ein Skript, das tausende Handynummern in der Sekunde erzeugen kann. Im Anschluss daran durchforstete er das Social Network mit einem Interface, das es Anwendungen erlaubt, auf Facebook-Daten zuzugreifen. Als Resultate bekam er zu den Handynummern passende Profilnamen und –bilder sowie Standortdaten und weitere Informationen. Das Skript wiederum sei fähig, alle möglichen Telefonnummern eines Landes zu generieren, so Moaiandin weiter. Ausprobiert habe er das mit den USA, Großbritannien und Kanada.

facebook-privatsphaere (Screenshot: ZDNet.de)
Privatsphäre-Einstellungen bei Facebook (Screenshot: ZDNet.de)

Die entsprechenden Facebook-Mitglieder haben die abgefragten Daten eigenhändig publik gemacht, anhand von Moaiandins Skript können Betrüger sie dann in einer umfangreichen Datenbank zusammenstellen. Jeweils im April und Juli machte der Programmierer Facebook auf die Lücke aufmerksam. Das Unternehmen bewertete sie jedoch weder als Sicherheits- noch als Datenschutzproblem. Stattdessen drosselt Facebook eigenen Angaben zufolge lediglich die Rate derartiger Abfragen, was offenbar allerdings keine Auswirkungen auf das von Moaiandin entwickelte Verfahren hatte. “Facebook sollte das Problem lösen können, indem es die Anfragen von einem einzelnen Nutzer einschränkt und Muster erkennt”, fügte Moaiandin hinzu.

Derweil verweist das Soziale Netzwerk auf seine strikten Regeln hinsichtlich des Entwickler-Zugriffs auf Nutzerdaten sowie bezüglich der Werkzeuge zur Überwachung des Netzwerk-Traffics. Überdies könne jeder Anwender den Zugang zu seinen Daten in den Privatsphäre-Einstellungen selbst steuern. “Die Privatsphäre der Leute, die Facebook nutzen, ist uns sehr wichtig”, heißt es in einer Stellungnahme des Unternehmens.

Allerdings wird Facebooks Umgang mit Nutzerdaten immer wieder von Datenschützern kritisiert. Zuletzt hatte in Deutschland der Hamburgische Datenschutzbeauftragte die Abschaffung der Klarnamenpflicht verlangt. Die vom Wiener Juristen Max Schrems an seinem Wohnsitz eingereichte Datenschutzklage wurde Anfang Juli indes abgewiesen, jedoch nicht aus inhaltlichen, sondern aus formellen Gründen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Facebook-Experte? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen