Soziale Netzwerke

12. August 2010 09:10; Akt: 28.09.2010 14:54 Print

Freie Fahrt für Spammer

von Henning Steier - Facebook macht erneut mit Sicherheitsproblemen Schlagzeilen: Für einige Stunden konnte man E-Mail-Adresse und Foto vieler Nutzer sehen. Die Einstellungen zur Privatsphäre spielten keine Rolle.

storybild

Wie der Screenshot zeigt, hat Facebook die Lücke im Anmeldeformular mittlerweile geschlossen.

Zum Thema
Fehler gesehen?

Wie es gestern Nachmittag in einem Eintrag von Atul Agarwal auf seclists.org hiess, klaffte eine Lücke im Anmeldeformular des weltgrössten sozialen Netzwerks. Wer eine E-Mail-Adresse und ein nicht dazu gehörendes Passwort eingab, erhielt eine Fehlermeldung. Hatte man allerdings eine E-Mail-Adresse eines Facebook-Mitglieds erwischt, wurde dessen ganzer Name samt Profilbild angezeigt.

Die ausgewählten Einstellungen zur Privatsphäre spielten keine Rolle. Spammer hätten die Lücke ausnutzen können, um zahlreiche E-Mail-Adressen samt Bild abzugreifen. Ob dies geschah, ist unbekannt. Eine offizielle Stellungnahme von Facebook gibt es nicht. Immerhin wurde die Lücke einige Stunden nach ihrer Entdeckung geschlossen.

Passwörter unverschlüsselt übertragen

Facebook macht immer wieder mit Sicherheitslücken Schlagzeilen. Ende Mai war bekannt geworden, dass Passwörter teilweise unverschlüsselt übertragen werden, wenn sich jemand über die Funktion «Freunde finden» beispielsweise bei Skype einloggt. Auch die Zugangsdaten zu anderen Instant-Messenger-Diensten wurden unverschlüsselt übertragen. «Damit wären kriminelle Organisationen in der Lage, mein Passwort mitzulesen und sich Zugang zu meinem E-Mail-Account zu verschaffen», kommentierte Professor Norbert Pohlmann von der Fachhochschule Gelsenkirchen. In Facebooks Datenschutzrichtlinien heisst es hingegen: «Wenn Du vertrauliche Daten, wie Kreditkartennummern und Passwörter, eingibst, werden diese Informationen verschlüsselt.» Eine Woche zuvor konnten Mitglieder kurzzeitig über die iPhone-App des sozialen Netzwerkes Lieblingszitate anderer User lesen, obwohl sie diese nicht zur öffentlichen Ansicht freigegeben hatten.

Ende April hatte der Google-Entwickler Ka-Ping Yee in einem Blogeintrag publik gemacht, dass man dank Facebooks Open-Graph-API problemlos herausfinden konnte, an welchen Veranstaltungen ein User teilnehmen würde. Das sollte auch für Nutzer funktionieren, mit denen man nicht befreundet war. Wie Yee schrieb, hatte man sich zuvor eine Liste von Mitgliedern ansehen können, die ihre Teilnahme an einem Event zugesagt hatten. Nun konnte man für eine Person nachschauen. Als Beleg hatte Ka-Ping Yee das Ganze für Facebook-Boss Mark Zuckerberg ausprobiert. Die Lücke ist aber mittlerweile geschlossen worden.

Kein Aprilscherz

In der Nacht auf den 1. April waren die E-Mail-Adressen von Mitgliedern für andere sichtbar - egal ob sie per Einstellungen auf «öffentlich» oder «privat» gesetzt worden waren. Wie viele der damals rund 400 Millionen Mitglieder davon betroffen waren, gab das Unternehmen nicht an. Facebook sprach von einem Fehler, der sich während beim Einspielen eines Routine-Updates eingeschlichen habe.

Angaben über die Zahl der betroffenen Nutzer gab es auch Ende Februar nicht, als sich E-Mails plötzlich in fremde Postfächer verirrten. Eine Sprecherin sagte dazu nur: «Während routinemässiger Wartungsarbeiten führten Fehler dazu, dass es bei wenigen Usern während kurzer Zeit zu einer Fehlleitung gekommen ist.» Die IT-Abteilung habe das Problem aber rasch erkannt und umgehend gelöst.

Lesen Sie auch bei unserem deutschen Partner stern.de: Soziale Netzwerke - Facebook, StudiVZ, Twitter & Co.