Einladung für Spammer

Bug bei Facebook nützt Datensammlern

Eine offenbar schon geschlossene Lücke im Anmeldesystem von Facebook machte das soziale Netzwerk zur Verifizierungsstelle für Mailadressen. Zudem ließen sich durch einen einfachen Trick die Realnamen der Benutzer und ihre Profilbilder einsammeln.

Anzeige

In der Security-Mailingliste Full Disclosure wies Atul Agarwal von Secfence Technologies auf ein merkwürdiges Verhalten von Facebook hin, das er selbst nicht klar als Bug oder Feature einordnen konnte. Der Sicherheitsforscher hatte versucht, sich mit einem falschen Passwort, aber seiner richtigen Mailadresse anzumelden. Daraufhin präsentierte ihm Facebook seinen echten Namen, zusammen mit dem Profilbild.

Das lag nicht am Browsercache oder an Cookies, wie weitere Experimente zeigten - im Gegenteil: Die Daten von Facebook-Usern wurden immer ausgegeben, wenn denn eine dort genutzte Mailadresse eingegeben wurde. Der Redakteur Sam Diaz von ZDnet USA konnte diesen Effekt ebenfalls beobachten. Er fand auch heraus, dass es genügt, eine Mailadresse einzugeben, die irgendwo auf den Facebook-Seiten eines Mitgliedes vorkommt. Die Adresse, die zur Registrierung genutzt wurde, muss gar nicht bekannt sein.

Der Entdecker des Phänomens, Atul Agarwal, stellt in seinem Beitrag fest, dass sich die Funktion über Skripte zum Datensammeln auf mehreren Wegen missbrauchen lässt. So können Spammer Mailadressen mit Namen und Bildern verknüpfen, was wiederum Phising-Versuche durch direkte Ansprache glaubhafter erscheinen lässt.

Zudem können Spammer auch erfundene Mailadressen ausprobieren, beispielsweise aus einer Kombination von Namenskürzeln und Firmennamen. Bei 500 Millionen Nutzern wäre Facebook so das größte Nachschlagewerk für existierende Mailadressen. In der Spamszene werden außerdem Datensätze, die mit einem Realnamen verbunden sind, viel teurer gehandelt als die Mailadresse alleine. Ein Bild der Person erhöht den Wert weiter.

Gegenüber PC Advisor gab ein Sprecher von Facebook an, dieses Verhalten der Webseite sei erst kürzlich durch einen Bug in einer neuen Softwareversion aufgetreten. Normalerweise sollte Facebook falsche Logins nicht durch Preisgabe des zugehörigen Namens und Profilbildes beantworten. Das erklärt auch, warum dieser Effekt bisher nicht aufgefallen war.

Der Sprecher sagte weiter, Facebook würde schon an einer Reparatur arbeiten. Das ist in der Nacht zum 12. August 2010 deutscher Zeit offenbar auch schon umgesetzt worden: Golem.de konnte das Verhalten der Loginseiten mit bekannten E-Mail-Adressen, über die Facebook-Accounts erstellt worden waren, nicht mehr nachstellen. Gleiches war bei Adressen, die auf den Seiten eines Mitgliedes in Kommentaren vorkamen, zu beobachten. Ob und in welchem Maße die Lücke bereits ausgenutzt wurde, ist noch nicht bekannt.

Kommentarübersicht
Google Wave also
Anonymous_1308 13. Aug 2010

Auch Google Wave bietet anonymen Zugang indem nach bestehenden E-Mail Adressen geschaut...

Re: Alter Hut (hängt leider auch weiterhin)
Golum 12. Aug 2010

Vollkommen richtig. Leider Gang und Gäbe bei vielen Online Diensten mit Login-Vorgang.

Re: Its a Feature, not a Bug
ichda 12. Aug 2010

ichda gefällt das

Wusste Facebook davon?
elgooG 12. Aug 2010

Auf einer Seite wie Facebook wird doch fleißig getracked was das Zeug hält. Keiner kann...

Kommentieren

Trackbacks
Anzeige
Stellenmarkt
  1. Embedded Software Designer im Automotive Bereich (m/w)
    Brunel GmbH, Raum Nürnberg
  2. Teamleiter Entwicklung / Applikation (m/w)
    über Steinbach & Partner Executive Consultants, Süddeutschland
  3. Ingenieur für Prüfstandsbau sowie anschl. Planung & Durchführung von Engineering- und Freigabetests (m/w)
    Brunel GmbH, Offenbach am Main
  4. IT-Prozessmodelliererin/IT-P- rozessmodellierer
    Otto-von-Guericke-Universität Magdeburg, Magdeburg

 

Detailsuche

Folgen Sie uns
       
Videos
ISS-Crew beantwortet Fragen von Youtube-Nutzern ISS-Crew beantwortet Fragen von Youtube-Nutzern
Meistgelesen
  1. Gema-Vermerk

    Youtube sperrt irrtümlich Acta-Video von Bruno Kramm
  2. IBM-Mainframe

    Nasa schaltet letzten Großrechner ab
  3. Spielebranche

    Diskussion über "stinkende Gamer"
  4. Desktop-Roadmap

    Mozilla hat mit Firefox 2012 viel vor
  5. Samsung Galaxy Tab 2

    7-Zoll-Tablet mit Android 4.0 und Glonass-Unterstützung
Meistkommentiert
  1. Lumia-Smartphones: Nokias Offensive auch in Deutschland gescheitert

    Kommentare: 270 | letzter Beitrag 13.02. 23:28

  2. Gerüchte: Apple will alle Notebooks dünner machen

    Kommentare: 188 | letzter Beitrag 04:17 Uhr

  3. Paypal: Nutzern von Kino.to drohen Strafverfahren

    Kommentare: 178 | letzter Beitrag 13.02. 22:01

  4. Klage gegen Samsung: Apple will Verkauf des Galaxy Nexus verhindern

    Kommentare: 116 | letzter Beitrag 13.02. 18:47

  5. Acta-Demos: Zehntausende gegen "bekACTA Scheiß" in München und Berlin

    Kommentare: 96 | letzter Beitrag 13.02. 16:40

Mehr

Ticker
  1. Tablet-Nachfolger

    iPad-3-Teile aufgetaucht

  2. Jugendschutz

    Filtersoftware von Jusprog und Telekom staatlich anerkannt

  3. Gema-Vermerk

    Youtube sperrt irrtümlich Acta-Video von Bruno Kramm

  4. Deutsche Post

    Zusatzfunktionen beim E-Postbrief dauern länger

  5. Gnome

    Neue Spezifikation für Fensterlayout

  6. Samsung Galaxy Tab 2

    7-Zoll-Tablet mit Android 4.0 und Glonass-Unterstützung

  7. IBM-Mainframe

    Nasa schaltet letzten Großrechner ab

  8. Appmenu Runner

    Head-Up Display auch in KDE

  9. Galaxy S2 mit Android 2.3.6

    Update wegen Abstürzen zurückgezogen?

  10. Fair Labor Association

    Apple lässt Foxconn überprüfen

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

WOA - Windows on ARM
WOA: Windows 8 für ARM im Detail
WOA
Windows 8 für ARM im Detail

Mit Windows on ARM (WOA) will Microsoft ein neues System mit einer ganz neuen Art von PCs etablieren. Damit Windows 8 auf ARM performant läuft und lange Akkulaufzeiten ermöglicht, musste Microsoft einige Kompromisse machen.

  1. Windows 8 auf ARM Microsoft zeigt Office 15
X-Plane
Test X-Plane 10: Flugsimulator mit Openstreetmap und vielen Rechnern
Test X-Plane 10
Flugsimulator mit Openstreetmap und vielen Rechnern

Ernsthafte Flugsimulationen gibt es kaum noch. Eine der letzten verbliebenen ist X-Plane 10 für Windows, Mac OS X und Linux. Golem.de hat sich ins virtuelle Cockpit gesetzt und den Flugsimulator mit mehreren Rechnern und iPads als Instrumente gespielt.

Suchmaschine
Bing, Blekko, Duck Duck Go: Googeln ohne Google?
Bing, Blekko, Duck Duck Go
Googeln ohne Google?

Die überarbeitete Version der Google-Suche "Search, plus Your World" hat heftige Debatten ausgelöst. Vor allem der Datenschutz steht mal wieder im Vordergrund der Kritik. "Geht es eigentlich auch ohne Google?", fragen sich daher viele Nutzer. Der Blogger Marcel Weiß hat es 18 Monate lang getestet.

  1. "Focus on the User" Facebook und Twitter zeigen Google, wie soziale Suche geht
  2. Neuer Algorithmus Google straft Seiten mit zu viel Werbung ab
  3. Theseus-Projekt Quote soll die erste Zitate-Suchmaschine Deutschlands werden
Forumsbeiträge »
  1. Gerüchte Apple will alle Notebooks dünner machen

    Re: Warum dann überhaupt noch MBA?

    Chatlog | 08:18

  2. IBM-Mainframe Nasa schaltet letzten Großrechner ab

    Re: Was für eien Verschwendung?

    deadlockgb | 08:18

  3. Spielebranche Diskussion über "stinkende Gamer"

    Re: Minderheiten

    Eurit | 08:09

  4. Nutzer in Deutschland Immer mehr Onlinezeit im sozialen Netzwerk

    Re: TV-Tipp: Milliardengeschäft Freundschaft...

    Tou | 08:06

  5. Spielebranche Diskussion über "stinkende Gamer"

    getroffene Hunde Bellen

    Eurit | 08:01

Ticker »
  1. Tablet-Nachfolger iPad-3-Teile aufgetaucht

    08:19

  2. Jugendschutz Filtersoftware von Jusprog und Telekom staatlich anerkannt

    19:07

  3. Gema-Vermerk Youtube sperrt irrtümlich Acta-Video von Bruno Kramm

    18:55

  4. Deutsche Post Zusatzfunktionen beim E-Postbrief dauern länger

    18:06

  5. Gnome Neue Spezifikation für Fensterlayout

    17:53

  6. Samsung Galaxy Tab 2 7-Zoll-Tablet mit Android 4.0 und Glonass-Unterstützung

    17:26

  7. IBM-Mainframe Nasa schaltet letzten Großrechner ab

    16:49

  8. Appmenu Runner Head-Up Display auch in KDE

    16:25

Zum Artikel