Abo
  • Services:
Anzeige
Einladung für Spammer: Bug bei Facebook nützt Datensammlern

Einladung für Spammer

Bug bei Facebook nützt Datensammlern

Eine offenbar schon geschlossene Lücke im Anmeldesystem von Facebook machte das soziale Netzwerk zur Verifizierungsstelle für Mailadressen. Zudem ließen sich durch einen einfachen Trick die Realnamen der Benutzer und ihre Profilbilder einsammeln.

In der Security-Mailingliste Full Disclosure wies Atul Agarwal von Secfence Technologies auf ein merkwürdiges Verhalten von Facebook hin, das er selbst nicht klar als Bug oder Feature einordnen konnte. Der Sicherheitsforscher hatte versucht, sich mit einem falschen Passwort, aber seiner richtigen Mailadresse anzumelden. Daraufhin präsentierte ihm Facebook seinen echten Namen, zusammen mit dem Profilbild.

Anzeige

Das lag nicht am Browsercache oder an Cookies, wie weitere Experimente zeigten - im Gegenteil: Die Daten von Facebook-Usern wurden immer ausgegeben, wenn denn eine dort genutzte Mailadresse eingegeben wurde. Der Redakteur Sam Diaz von ZDnet USA konnte diesen Effekt ebenfalls beobachten. Er fand auch heraus, dass es genügt, eine Mailadresse einzugeben, die irgendwo auf den Facebook-Seiten eines Mitgliedes vorkommt. Die Adresse, die zur Registrierung genutzt wurde, muss gar nicht bekannt sein.

Der Entdecker des Phänomens, Atul Agarwal, stellt in seinem Beitrag fest, dass sich die Funktion über Skripte zum Datensammeln auf mehreren Wegen missbrauchen lässt. So können Spammer Mailadressen mit Namen und Bildern verknüpfen, was wiederum Phising-Versuche durch direkte Ansprache glaubhafter erscheinen lässt.

Zudem können Spammer auch erfundene Mailadressen ausprobieren, beispielsweise aus einer Kombination von Namenskürzeln und Firmennamen. Bei 500 Millionen Nutzern wäre Facebook so das größte Nachschlagewerk für existierende Mailadressen. In der Spamszene werden außerdem Datensätze, die mit einem Realnamen verbunden sind, viel teurer gehandelt als die Mailadresse alleine. Ein Bild der Person erhöht den Wert weiter.

Gegenüber PC Advisor gab ein Sprecher von Facebook an, dieses Verhalten der Webseite sei erst kürzlich durch einen Bug in einer neuen Softwareversion aufgetreten. Normalerweise sollte Facebook falsche Logins nicht durch Preisgabe des zugehörigen Namens und Profilbildes beantworten. Das erklärt auch, warum dieser Effekt bisher nicht aufgefallen war.

Der Sprecher sagte weiter, Facebook würde schon an einer Reparatur arbeiten. Das ist in der Nacht zum 12. August 2010 deutscher Zeit offenbar auch schon umgesetzt worden: Golem.de konnte das Verhalten der Loginseiten mit bekannten E-Mail-Adressen, über die Facebook-Accounts erstellt worden waren, nicht mehr nachstellen. Gleiches war bei Adressen, die auf den Seiten eines Mitgliedes in Kommentaren vorkamen, zu beobachten. Ob und in welchem Maße die Lücke bereits ausgenutzt wurde, ist noch nicht bekannt.


eye home zur Startseite
Anonymous_1308 13. Aug 2010

Auch Google Wave bietet anonymen Zugang indem nach bestehenden E-Mail Adressen geschaut...

Golum 12. Aug 2010

Vollkommen richtig. Leider Gang und Gäbe bei vielen Online Diensten mit Login-Vorgang.

ichda 12. Aug 2010

ichda gefällt das

elgooG 12. Aug 2010

Auf einer Seite wie Facebook wird doch fleißig getracked was das Zeug hält. Keiner kann...



Anzeige

Stellenmarkt
  1. Continental AG, Lindau am Bodensee
  2. über Hays AG, Oberhausen
  3. Elementis Services GmbH, Köln
  4. Basler AG, Ahrensburg bei Hamburg


Anzeige
Spiele-Angebote
  1. (-5%) 47,49€
  2. (u. a. Anno 2205 Ultimate Edition für 10,99€, Anno 2070 Königsedition für 6,99€ und...

Folgen Sie uns
       


  1. Kabelnetz

    Vodafone setzt bereits Docsis 3.1 beim Endkunden ein

  2. Neuer Standort

    Amazon sucht das zweite Hauptquartier

  3. Matt Booty

    Mr. Minecraft wird neuer Spiele-Chef bei Microsoft

  4. Gerichtsurteil

    Internet- und Fernsehkunden müssen bei Umzug weiterzahlen

  5. Sicherheitsupdate

    Microsoft-Compiler baut Schutz gegen Spectre

  6. Facebook Messenger

    Bug lässt iPhone-Nutzer nur wenige Wörter tippen

  7. Multi-Shot-Kamera

    Hasselblad macht 400-Megapixel-Fotos mit 2,4 GByte Größe

  8. Mitsubishi

    Rückkamera identifiziert Verkehrsteilnehmer

  9. Otherside Entertainment

    Underworld Ascendant soll mehr Licht ins Dunkle bringen

  10. Meltdown und Spectre

    "Dann sind wir performancemäßig wieder am Ende der 90er"



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Kryptowährungen: Von Tulpen, Berg- und Talfahrten
Kryptowährungen
Von Tulpen, Berg- und Talfahrten
  1. Bitcoin Israels Marktaufsicht will Kryptoverbot an Börse durchsetzen
  2. Geldwäsche EU will den Bitcoin weniger anonym machen
  3. Kryptowährung 4.700 Bitcoin von Handelsplattform Nicehash gestohlen

IT-Sicherheit: Der Angriff kommt - auch ohne eigene Fehler
IT-Sicherheit
Der Angriff kommt - auch ohne eigene Fehler
  1. eID Willkommen in der eGovernment-Hölle
  2. Keeper Security Passwortmanager-Hersteller verklagt Journalist Dan Goodin
  3. Windows 10 Kritische Lücke in vorinstalliertem Passwortmanager

Elektroauto: War es das, Tesla?
Elektroauto
War es das, Tesla?
  1. Elektroauto Norwegische Model-S-Fahrer klagen gegen Tesla
  2. Erneuerbare Energien Tesla soll weitere Netzspeicher in Australien bauen
  3. Elektroauto Teslas Probleme mit dem Model 3 sind nicht gelöst

  1. Re: Umwandlung in DSL möglich?

    CerealD | 03:34

  2. Re: Freifunk aehnlich

    udnez | 03:14

  3. Re: Wo soll denn da das Missbrauchspotential sein?

    1ras | 03:05

  4. Re: Stichtag Umzugstermin

    CerealD | 03:05

  5. Re: Was passiert eigentlich wenn zwei zusammenziehen?

    CerealD | 02:57


  1. 19:09

  2. 16:57

  3. 16:48

  4. 16:13

  5. 15:36

  6. 13:15

  7. 13:00

  8. 12:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel