Hintertür in Facebook erlaubt massenhaftes Sammeln von Nutzerdaten

Reza Moaiandin, technischer Direktor der Suchmarketingfirma Salt, hat eine Hintertüre entdeckt, die es ihm erlaubt, massenhaft persönliche Daten von Facebook-Nutzern zu sammeln. Das Leck kompromittiert ihm zufolge den Datenschutz des Social Network und ebnet den Weg für Betrugsmaschen. „Wenn keine Grenze gesetzt wird und die Hintertür von der falschen Person entdeckt wird, dann könnte das ein großes Phishing-Problem sein“, schreibt der Programmierer in seinem Blog.

Das Schlupfloch habe er nur „versehentlich“ gefunden, während er mit einer Funktion experimentiert habe, die es Nutzern erlaube, auf Facebook Personen anhand ihrer Telefonnummer zu finden. Die Option „Wer kann nach mir suchen?“ sei ab Werk auf „Alle“ eingestellt, was bedeute, dass jeder nach einer Telefonnummer suchen könne.

Diese Einstellung gelte sogar für Nutzer, die ihre Telefonnummer nicht in ihrem öffentlichen Profil anzeigten, so Moaiandin weiter. Um Telefonnummern auch von der öffentlichen Suche auszuschließen, müsse bei „Wer kann nach mir suchen?“ am besten „Freunde“ ausgewählt werden.

Moaiandin nutzte nach eigenen Angaben ein Skript, um tausende Handynummern pro Sekunde zu generieren. Danach durchsuchte er das Social Network mit einem Interface, das es Anwendungen erlaubt, auf Facebook-Daten zuzugreifen. Als Ergebnisse erhielt er zu den Handynummern passende Profilnamen und –bilder sowie Standortdaten und weitere Informationen.

Das Skript wiederum sei in der Lage, alle möglichen Telefonnummern eines Landes zu erzeugen, so Moaiandin weiter. Getestet habe er dies mit den USA, Großbritannien und Kanada.

Die abgefragten Daten haben die Facebook-Mitglieder zwar selber öffentlich gemacht, mithilfe von Moaiandins Skript können Betrüger sie aber zu einer riesigen Datenbank zusammenfassen. Facebook machte er im April und um Juli auf die Lücke aufmerksam. Das Unternehmen stufte sie aber weder als Sicherheits- noch als Datenschutzproblem ein. Facebook drosselt stattdessen nach eigenen Angaben die Rate derartiger Abfragen, was aber offenbar keine Auswirkungen auf das von Moaiandin entwickelte Verfahren hatte. „Facebook sollte das Problem lösen können, indem es die Anfragen von einem einzelnen Nutzer einschränkt und Muster erkennt“, ergänzte Moaiandin.

Das Social Network verweist indes auf seine strengen Regeln für den Zugriff von Entwicklern auf Nutzerdaten sowie Tools zur Überwachung des Netzwerkverkehrs. Zudem könne jeder Nutzer den Zugriff auf seine Daten in den Privatsphäreeinstellungen regeln. „Die Privatsphäre der Leute, die Facebook nutzen, ist uns sehr wichtig“, heißt es in einer Stellungnahme des Unternehmens.

Facebooks Umgang mit Nutzerdaten wird von Datenschutzern immer wieder kritisiert. Hierzulande hatte der Hamburgische Datenschutzbeauftragte zuletzt die Zulassung von Pseudonymen gefordert. Die vom Wiener Juristen Max Schrems an seinem Wohnsitz eingereichte Datenschutzklage wurde indes Anfang Juli abgewiesen, allerdings nicht aus inhaltlichen, sondern aus formellen Gründen.

[mit Material von Matthew Broersma, TechWeekEurope]

Tipp: Sind Sie ein Facebook-Experte? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.