Einladung für Spammer

Bug bei Facebook nützt Datensammlern

Eine offenbar schon geschlossene Lücke im Anmeldesystem von Facebook machte das soziale Netzwerk zur Verifizierungsstelle für Mailadressen. Zudem ließen sich durch einen einfachen Trick die Realnamen der Benutzer und ihre Profilbilder einsammeln.

Anzeige

In der Security-Mailingliste Full Disclosure wies Atul Agarwal von Secfence Technologies auf ein merkwürdiges Verhalten von Facebook hin, das er selbst nicht klar als Bug oder Feature einordnen konnte. Der Sicherheitsforscher hatte versucht, sich mit einem falschen Passwort, aber seiner richtigen Mailadresse anzumelden. Daraufhin präsentierte ihm Facebook seinen echten Namen, zusammen mit dem Profilbild.

Das lag nicht am Browsercache oder an Cookies, wie weitere Experimente zeigten - im Gegenteil: Die Daten von Facebook-Usern wurden immer ausgegeben, wenn denn eine dort genutzte Mailadresse eingegeben wurde. Der Redakteur Sam Diaz von ZDnet USA konnte diesen Effekt ebenfalls beobachten. Er fand auch heraus, dass es genügt, eine Mailadresse einzugeben, die irgendwo auf den Facebook-Seiten eines Mitgliedes vorkommt. Die Adresse, die zur Registrierung genutzt wurde, muss gar nicht bekannt sein.

Der Entdecker des Phänomens, Atul Agarwal, stellt in seinem Beitrag fest, dass sich die Funktion über Skripte zum Datensammeln auf mehreren Wegen missbrauchen lässt. So können Spammer Mailadressen mit Namen und Bildern verknüpfen, was wiederum Phising-Versuche durch direkte Ansprache glaubhafter erscheinen lässt.

Zudem können Spammer auch erfundene Mailadressen ausprobieren, beispielsweise aus einer Kombination von Namenskürzeln und Firmennamen. Bei 500 Millionen Nutzern wäre Facebook so das größte Nachschlagewerk für existierende Mailadressen. In der Spamszene werden außerdem Datensätze, die mit einem Realnamen verbunden sind, viel teurer gehandelt als die Mailadresse alleine. Ein Bild der Person erhöht den Wert weiter.

Gegenüber PC Advisor gab ein Sprecher von Facebook an, dieses Verhalten der Webseite sei erst kürzlich durch einen Bug in einer neuen Softwareversion aufgetreten. Normalerweise sollte Facebook falsche Logins nicht durch Preisgabe des zugehörigen Namens und Profilbildes beantworten. Das erklärt auch, warum dieser Effekt bisher nicht aufgefallen war.

Der Sprecher sagte weiter, Facebook würde schon an einer Reparatur arbeiten. Das ist in der Nacht zum 12. August 2010 deutscher Zeit offenbar auch schon umgesetzt worden: Golem.de konnte das Verhalten der Loginseiten mit bekannten E-Mail-Adressen, über die Facebook-Accounts erstellt worden waren, nicht mehr nachstellen. Gleiches war bei Adressen, die auf den Seiten eines Mitgliedes in Kommentaren vorkamen, zu beobachten. Ob und in welchem Maße die Lücke bereits ausgenutzt wurde, ist noch nicht bekannt.

Kommentarübersicht
Google Wave also
Anonymous_1308 13. Aug 2010

Auch Google Wave bietet anonymen Zugang indem nach bestehenden E-Mail Adressen geschaut...

Re: Alter Hut (hängt leider auch weiterhin)
Golum 12. Aug 2010

Vollkommen richtig. Leider Gang und Gäbe bei vielen Online Diensten mit Login-Vorgang.

Re: Its a Feature, not a Bug
ichda 12. Aug 2010

ichda gefällt das

Wusste Facebook davon?
elgooG 12. Aug 2010

Auf einer Seite wie Facebook wird doch fleißig getracked was das Zeug hält. Keiner kann...

Kommentieren

Trackbacks
Anzeige
Stellenmarkt
  1. Leiter Softwareentwicklung (m/w)
    Universität Zürich über HRM Consulting GmbH, Zürich
  2. Techniker Steuergerätetest Hardware-in-the-Loop (m/w)
    MBtech Group GmbH & Co. KGaA, Mannheim
  3. Teamleiter Infrastruktur (m/w)
    SolarWorld AG, keine Angabe
  4. Anwendungsberater/in Salesforce
    Schaeffler Technologies AG & Co. KG, Herzogenaurach

 

Detailsuche

Folgen Sie uns
       
Videos
HTC One XL - Test HTC One XL - Test
Meistgelesen
  1. Samsung Galaxy S3

    Siri braucht sich nicht zu fürchten
  2. Schmerzlos

    MIT-Forscher entwickeln Injektor mit Lorentzkraft-Antrieb
  3. CSU-Vizechefin

    Aussagen zur Internetsucht sind absurd
  4. iOS

    Untethered Jailbreak für iOS 5.1.1 erschienen
  5. USB-Sticks und Speicherkarten

    Hersteller wehren sich gegen neue "Mondtarife"
Meistkommentiert
  1. IMHO: Warum ich nicht Diablo 3 spiele

    Kommentare: 385 | letzter Beitrag 10:32 Uhr

  2. USB-Sticks und Speicherkarten: Pauschalabgaben sollen von 10 Cent auf knapp 2 Euro steigen

    Kommentare: 221 | letzter Beitrag 09:51 Uhr

  3. Bundesregierung: Deutsche Geheimdienste können PGP entschlüsseln

    Kommentare: 215 | letzter Beitrag 25.05. 11:40

  4. USB-Sticks und Speicherkarten: Hersteller wehren sich gegen neue "Mondtarife"

    Kommentare: 144 | letzter Beitrag 13:16 Uhr

  5. Bernd Schlömer: Twittern und Mailen für die Piratenpartei im Dienst verboten

    Kommentare: 92 | letzter Beitrag 13:11 Uhr

Mehr

Ticker
  1. Golem.de guckt

    Freundesmassen

  2. SpaceX

    Dockingmanöver an der ISS abgeschlossen

  3. iOS

    Untethered Jailbreak für iOS 5.1.1 erschienen

  4. CSU-Vizechefin

    Aussagen zur Internetsucht sind absurd

  5. Schmerzlos

    MIT-Forscher entwickeln Injektor mit Lorentzkraft-Antrieb

  6. Sony

    Music Unlimited nun auch fürs iPhone

  7. Samsung Galaxy S3

    Siri braucht sich nicht zu fürchten

  8. Gewerkschaft

    Entlassungen werden bei HP-Deutschland voll durchschlagen

  9. Tex Murphy

    Privatermittler sucht Privatinvestoren

  10. Studie

    Fast jeder zweite Nutzer hört legal Musik im Netz

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Landgericht Hamburg
Landgericht Hamburg: Blogger haftet für eingebettetes Youtube-Video
Landgericht Hamburg
Blogger haftet für eingebettetes Youtube-Video

Das Landgericht Hamburg hat entschieden, dass der Blogger und Rechtsanwalt Markus Kompa für ein via Youtube eingebettetes ZDF-Video als Verbreiter haftet. Geklagt hat ein umstrittener Arzt aus München, der zuvor erfolgreich gegen den Bericht der ZDF-Sendung Wiso vorgegangen war.

  1. Youtube-Streit Gema legt Berufung ein und pocht auf Transparenz
  2. Gema gegen Youtube Beide sehen sich als Gewinner
  3. Gema gegen Youtube Medienanwalt erwartet ab morgen weitere Youtube-Sperren
Owncloud
Owncloud Inc.: "Wir sind kein Serviceprovider"
Owncloud Inc.
"Wir sind kein Serviceprovider"

Das Unternehmen Owncloud entwickele nur Software und biete Support für Kunden, sagte Technikchef Frank Karlitschek auf dem Linuxtag 2012. Darüber hinaus verriet er einige technische Details zu Owncloud 4 und kommenden Entwicklungen.

  1. Persönlicher Onlinespeicher Owncloud 4.0 verschlüsselt Daten auf dem Server
  2. Persönlicher Onlinespeicher Owncloud erhält Android-Applikation
  3. Persönlicher Onlinespeicher Owncloud 2012 auch mit kostenpflichtigem Support
Skyrim
The Elder Scrolls 5 Skyrim: Update für Kämpfe hoch zu Ross
The Elder Scrolls 5 Skyrim
Update für Kämpfe hoch zu Ross

Die Kavallerie hält Einzug in Himmelsrand: Mit Patch 1.6 liefert Bethesda die Möglichkeit nach, in Skyrim auch auf dem Rücken von Pferden zu kämpfen. PC-Spieler dürfen bereits jetzt hoch zu Ross das Schwert schwingen.

  1. Skyrim unterstützt Kinect Der Drachenschrei ins Mikrofon
  2. The Elder Scrolls 5 Patch 1.5 macht Skyrim schöner
  3. Selbstbau-VR Skyrim mit Videobrille, Headtracker und Kinect
Forumsbeiträge »
  1. CSU-Vizechefin Aussagen zur Internetsucht sind absurd

    Re: Das übliche Problem "Normalität" zu definieren...

    NeverDefeated | 13:28

  2. Kim Dotcom "Gebt mir meine Rechner zurück!"

    Re: ... und dann den Wald verschlüsselt

    Endwickler | 13:16

  3. USB-Sticks und Speicherkarten Hersteller wehren sich gegen neue "Mondtarife"

    Join the Party!

    (void*) | 13:16

  4. Bernd Schlömer Twittern und Mailen für die Piratenpartei im Dienst verboten

    Re: Hallo? Entweder oder: Verbeamteter Nimmersatt

    Thaodan | 13:11

  5. Project Glass Videoaufnahme mit der Google-Brille

    Wieso Video als HD?

    ChrisKlüsener | 13:11

Ticker »
  1. Golem.de guckt Freundesmassen

    12:30

  2. SpaceX Dockingmanöver an der ISS abgeschlossen

    12:23

  3. iOS Untethered Jailbreak für iOS 5.1.1 erschienen

    18:49

  4. CSU-Vizechefin Aussagen zur Internetsucht sind absurd

    18:33

  5. Schmerzlos MIT-Forscher entwickeln Injektor mit Lorentzkraft-Antrieb

    18:08

  6. Sony Music Unlimited nun auch fürs iPhone

    17:44

  7. Samsung Galaxy S3 Siri braucht sich nicht zu fürchten

    17:17

  8. Gewerkschaft Entlassungen werden bei HP-Deutschland voll durchschlagen

    16:57

Zum Artikel