Hintertür in Facebook erlaubt massenhaftes Sammeln von Nutzerdaten

Sie steckt in der Suche nach Facebook-Mitgliedern per Handynummer. Sie lässt sich standardmäßig selbst dann finden, wenn die Telefonnummer nicht öffentlich ist. Betrüger könnten so eine ganze Profildatenbank erstellen.

Reza Moaiandin, technischer Direktor der Suchmarketingfirma Salt, hat eine Hintertüre entdeckt, die es ihm erlaubt, massenhaft persönliche Daten von Facebook-Nutzern zu sammeln. Das Leck kompromittiert ihm zufolge den Datenschutz des Social Network und ebnet den Weg für Betrugsmaschen. „Wenn keine Grenze gesetzt wird und die Hintertür von der falschen Person entdeckt wird, dann könnte das ein großes Phishing-Problem sein“, schreibt der Programmierer in seinem Blog.

Datenschutz (Bild: Shutterstock)Das Schlupfloch habe er nur „versehentlich“ gefunden, während er mit einer Funktion experimentiert habe, die es Nutzern erlaube, auf Facebook Personen anhand ihrer Telefonnummer zu finden. Die Option „Wer kann nach mir suchen?“ sei ab Werk auf „Alle“ eingestellt, was bedeute, dass jeder nach einer Telefonnummer suchen könne.

Diese Einstellung gelte sogar für Nutzer, die ihre Telefonnummer nicht in ihrem öffentlichen Profil anzeigten, so Moaiandin weiter. Um Telefonnummern auch von der öffentlichen Suche auszuschließen, müsse bei „Wer kann nach mir suchen?“ am besten „Freunde“ ausgewählt werden.

Moaiandin nutzte nach eigenen Angaben ein Skript, um tausende Handynummern pro Sekunde zu generieren. Danach durchsuchte er das Social Network mit einem Interface, das es Anwendungen erlaubt, auf Facebook-Daten zuzugreifen. Als Ergebnisse erhielt er zu den Handynummern passende Profilnamen und –bilder sowie Standortdaten und weitere Informationen.

Facebook Privatsphäreeinstellungen (Screenshot: ZDNet.de)Das Skript wiederum sei in der Lage, alle möglichen Telefonnummern eines Landes zu erzeugen, so Moaiandin weiter. Getestet habe er dies mit den USA, Großbritannien und Kanada.

Die abgefragten Daten haben die Facebook-Mitglieder zwar selber öffentlich gemacht, mithilfe von Moaiandins Skript können Betrüger sie aber zu einer riesigen Datenbank zusammenfassen. Facebook machte er im April und um Juli auf die Lücke aufmerksam. Das Unternehmen stufte sie aber weder als Sicherheits- noch als Datenschutzproblem ein. Facebook drosselt stattdessen nach eigenen Angaben die Rate derartiger Abfragen, was aber offenbar keine Auswirkungen auf das von Moaiandin entwickelte Verfahren hatte. „Facebook sollte das Problem lösen können, indem es die Anfragen von einem einzelnen Nutzer einschränkt und Muster erkennt“, ergänzte Moaiandin.

Das Social Network verweist indes auf seine strengen Regeln für den Zugriff von Entwicklern auf Nutzerdaten sowie Tools zur Überwachung des Netzwerkverkehrs. Zudem könne jeder Nutzer den Zugriff auf seine Daten in den Privatsphäreeinstellungen regeln. „Die Privatsphäre der Leute, die Facebook nutzen, ist uns sehr wichtig“, heißt es in einer Stellungnahme des Unternehmens.

Facebooks Umgang mit Nutzerdaten wird von Datenschutzern immer wieder kritisiert. Hierzulande hatte der Hamburgische Datenschutzbeauftragte zuletzt die Zulassung von Pseudonymen gefordert. Die vom Wiener Juristen Max Schrems an seinem Wohnsitz eingereichte Datenschutzklage wurde indes Anfang Juli abgewiesen, allerdings nicht aus inhaltlichen, sondern aus formellen Gründen.

[mit Material von Matthew Broersma, TechWeekEurope]

Tipp: Sind Sie ein Facebook-Experte? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

 

HIGHLIGHT

Praxis-Workshop: Samsung S6 und S6 Edge in Active Directory einbinden

In Samsung S6 und S6 Edge-Geräten ist Samsung Knox 2.4 integriert. Unternehmen, die auf Active Directory setzen und parallel auf Samsung-Smartphones, können Samsung Knox an Active Directory anbinden.

Themenseiten: Datenschutz, Facebook, Privacy, Soziale Netze

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Hintertür in Facebook erlaubt massenhaftes Sammeln von Nutzerdaten

Kommentar hinzufügen
  • Am 11. August 2015 um 10:12 von Frank

    Was für eine Überraschung. Da machte die Klarnamen Pflicht doch absolut Sinn. ;)

  • Am 11. August 2015 um 10:30 von bibi

    Man muss auch schon ziemlich blöd sein un seine Tel Nr bei FB rein zu schreiben, oder überhaupt irgendwas..

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *