Sicherheitsexperte warnt: Facebook ermöglicht Erstellen von Telefonlisten

Der indische Sicherheitsexperte Suriya Prakash warnt vor einer Sicherheitslücke in der mobilen Facebook-Anwendung, die es ermöglicht, Listen mit Nutzernamen und den dazugehörigen Telefonnummern zu erstellen. Möglich sei dies, da Facebook offensichtlich versäumt habe, die Anzahl der Suchanfragen für Telefonnummern für seinen mobilen Dienst – verfügbar über m.facebook.com – zu beschränken. In der Desktop-Variante der Facebook-Website greife eine derartige Beschränkung bereits.

An die Telefonnummern seiner Nutzer gelangt Facebook, weil das soziale Netzwerk die Angabe der Nummer zur Verifizierung neuer Accounts und für einige weitere Funktionen voraussetzt. Dabei wird die Sichtbarkeit der Telefonnummern in den Einstellungen standardmäßig so gesetzt, dass diese für „alle“ sichtbar sind und somit auch von jedermann abgefragt werden können. Der Nutzer kann nachträglich Änderungen an seinen Privatsphäre-Einstellungen vornehmen, so dass auf Wunsch nur noch „Freunde“ oder auch „Freunde von Freunden“ auf Daten wie Telefonnummern und E-Mail-Adressen zugreifen können.

Prakash jedenfalls sei es mit Hilfe eines selbst geschriebenen Scripts gelungen, „eine Liste von Nutzern und deren Telefonnummern zu erstellen, indem er sich auf bestimmte Sequenzen und Provider beschränkte“, berichtet die Neue Zürcher Zeitung. Als er das soziale Netzwerk im August 2012 auf die mangelnde Sicherheit für Kontaktdaten hinwies, habe ihm Facebook am 2. Oktober und somit mit reichlich Verspätung mitgeteilt, dass Facebook die Nummernabfragen doch einschränke. Das sei auch richtig, erklärt Prakash, die Beschränkung gelte jedoch wie bereits erwähnt bloß für die Desktop-Lösung.

Dass die gemeldete Sicherheitslücke Missbrauchspotential hat, demonstrierte Tyler Borland. Der Entwickler programmierte eine Software namens Facebook Phone Crawler, die in der Lage ist, zehn Suchanfragen gleichzeitig zu stellen und somit das Sammeln der Daten zu beschleunigen. Die gewonnenen Telefonlisten könnten von Kriminellen für telefonische Abzocke genutzt werden.

Auf Anfrage der NZZ versuchte ein Facebook-Sprecher klarzustellen, dass es sich hierbei „um beabsichtigtes Verhalten und nicht um einen Bug“ handle. „Standardmäßig sind die Privatsphäre-Einstellungen so gesetzt, dass man von jedem über die Suche und den Freundefinder anhand der Informationen, die man selbst eingestellt hat – wie E-Mail-Adresse oder Telefonnummer – gefunden werden kann. Diese Einstellungen kann man jederzeit in den Privatsphäre-Einstellungen für sich anpassen. Facebook hat ein umfangreiches System entwickelt, das eine missbräuchliche Nutzung der Facebook-Suchfunktion verhindert. Tatsächlich war das Ausmaß des von diesem Entwickler beschriebenen Szenarios begrenzt und wurde letztendlich blockiert. Wir arbeiten kontinuierlich daran, diese Systeme zu aktualisieren, um deren Effektivität zu verbessern und neuen Formen von Angriffen entgegenzuwirken“, heißt es weiter.

Ob beabsichtigtes Verhalten oder nicht, jedem Facebook-Nutzer, dem wenig daran liegt, dass Wildfremde an seine Telefonnummer gelangen, sei geraten, seine Privatsphäre-Einstellungen zu überprüfen und entsprechende Maßnahmen zu setzen. [unwatched / NZZ]

Kurz-URL zu diesem Artikel: http://unurl.org/jbm
Bild: birgerking (CC BY 2.0)