Abo
  • Services:

Einladung für Spammer

Bug bei Facebook nützt Datensammlern

Eine offenbar schon geschlossene Lücke im Anmeldesystem von Facebook machte das soziale Netzwerk zur Verifizierungsstelle für Mailadressen. Zudem ließen sich durch einen einfachen Trick die Realnamen der Benutzer und ihre Profilbilder einsammeln.

Artikel veröffentlicht am ,
Einladung für Spammer: Bug bei Facebook nützt Datensammlern

In der Security-Mailingliste Full Disclosure wies Atul Agarwal von Secfence Technologies auf ein merkwürdiges Verhalten von Facebook hin, das er selbst nicht klar als Bug oder Feature einordnen konnte. Der Sicherheitsforscher hatte versucht, sich mit einem falschen Passwort, aber seiner richtigen Mailadresse anzumelden. Daraufhin präsentierte ihm Facebook seinen echten Namen, zusammen mit dem Profilbild.

Stellenmarkt
  1. MT AG, Großraum Frankfurt am Main, Großraum Düsseldorf, Köln, Dortmund
  2. Robert Bosch GmbH, Abstatt

Das lag nicht am Browsercache oder an Cookies, wie weitere Experimente zeigten - im Gegenteil: Die Daten von Facebook-Usern wurden immer ausgegeben, wenn denn eine dort genutzte Mailadresse eingegeben wurde. Der Redakteur Sam Diaz von ZDnet USA konnte diesen Effekt ebenfalls beobachten. Er fand auch heraus, dass es genügt, eine Mailadresse einzugeben, die irgendwo auf den Facebook-Seiten eines Mitgliedes vorkommt. Die Adresse, die zur Registrierung genutzt wurde, muss gar nicht bekannt sein.

Der Entdecker des Phänomens, Atul Agarwal, stellt in seinem Beitrag fest, dass sich die Funktion über Skripte zum Datensammeln auf mehreren Wegen missbrauchen lässt. So können Spammer Mailadressen mit Namen und Bildern verknüpfen, was wiederum Phising-Versuche durch direkte Ansprache glaubhafter erscheinen lässt.

Zudem können Spammer auch erfundene Mailadressen ausprobieren, beispielsweise aus einer Kombination von Namenskürzeln und Firmennamen. Bei 500 Millionen Nutzern wäre Facebook so das größte Nachschlagewerk für existierende Mailadressen. In der Spamszene werden außerdem Datensätze, die mit einem Realnamen verbunden sind, viel teurer gehandelt als die Mailadresse alleine. Ein Bild der Person erhöht den Wert weiter.

Gegenüber PC Advisor gab ein Sprecher von Facebook an, dieses Verhalten der Webseite sei erst kürzlich durch einen Bug in einer neuen Softwareversion aufgetreten. Normalerweise sollte Facebook falsche Logins nicht durch Preisgabe des zugehörigen Namens und Profilbildes beantworten. Das erklärt auch, warum dieser Effekt bisher nicht aufgefallen war.

Der Sprecher sagte weiter, Facebook würde schon an einer Reparatur arbeiten. Das ist in der Nacht zum 12. August 2010 deutscher Zeit offenbar auch schon umgesetzt worden: Golem.de konnte das Verhalten der Loginseiten mit bekannten E-Mail-Adressen, über die Facebook-Accounts erstellt worden waren, nicht mehr nachstellen. Gleiches war bei Adressen, die auf den Seiten eines Mitgliedes in Kommentaren vorkamen, zu beobachten. Ob und in welchem Maße die Lücke bereits ausgenutzt wurde, ist noch nicht bekannt.



Anzeige
Blu-ray-Angebote
  1. 4,25€
  2. (2 Monate Sky Ticket für nur 4,99€)
  3. (nur für Prime-Mitglieder)

Anonymous_1308 13. Aug 2010

Auch Google Wave bietet anonymen Zugang indem nach bestehenden E-Mail Adressen geschaut...

Golum 12. Aug 2010

Vollkommen richtig. Leider Gang und Gäbe bei vielen Online Diensten mit Login-Vorgang.

ichda 12. Aug 2010

ichda gefällt das

elgooG 12. Aug 2010

Auf einer Seite wie Facebook wird doch fleißig getracked was das Zeug hält. Keiner kann...


Folgen Sie uns
       


Leistungsschutzrecht und Uploadfilter - Golem.de Live

Nach der EU-Kommission und den Mitgliedstaaten sprach sich am Mittwoch in Brüssel auch der Rechtsausschuss des Europaparlaments für ein Recht aus, das die digitale Nutzung von Pressepublikation durch Informationsdienste zustimmungspflichtig macht. Ein Uploadfilter, der das Hochladen urheberrechtlich geschützter Inhalte verhindern soll, wurde ebenfalls auf den Weg gebracht. Doch was bedeutet diese Entscheidung am Ende für den Nutzer? Und wer verfolgt eigentlich welche Interessen in der Debatte?

Leistungsschutzrecht und Uploadfilter - Golem.de Live Video aufrufen
VR-Rundschau: Retten rockende Jedi-Ritter die virtuelle Realität?
VR-Rundschau
Retten rockende Jedi-Ritter die virtuelle Realität?

Der mediale Hype um VR ist zwar abgeflaut, spannende Inhalte dafür gibt es aber weiterhin - und das nicht nur im Games-Bereich. Mit dabei: das beliebteste Spiel bei Steam, Jedi-Ritter auf Speed und ägyptische Grabkammern.
Ein Test von Achim Fehrenbach

  1. Grafikkarten Virtual Link via USB-C für Next-Gen-Headsets
  2. Oculus Core 2.0 Windows 10 wird Minimalanforderung für Oculus Rift
  3. Virtual Reality BBC überträgt Fußball-WM in der virtuellen VIP-Loge

Nasa-Teleskop: Überambitioniert, überteuert und in dieser Form überflüssig
Nasa-Teleskop
Überambitioniert, überteuert und in dieser Form überflüssig

Seit 1996 entwickelt die Nasa einen Nachfolger für das Hubble-Weltraumteleskop. Die Kosten dafür stiegen seit dem von 500 Millionen auf über 10 Milliarden US-Dollar. Bei Tests fiel das Prestigeprojekt zuletzt durch lockere Schrauben auf. Wie konnte es dazu kommen?
Von Frank Wunderlich-Pfeiffer

  1. Raumfahrt US-Regierung gibt der Nasa nicht mehr Geld für Mondflug

KI in der Medizin: Keine Angst vor Dr. Future
KI in der Medizin
Keine Angst vor Dr. Future

Mit Hilfe künstlicher Intelligenz können schwer erkennbare Krankheiten früher diagnostiziert und behandelt werden, doch bei Patienten löst die Technik oft Unbehagen aus. Und das ist nicht das einzige Problem.
Ein Bericht von Tim Kröplin

  1. Medizintechnik Künstliche Intelligenz erschnüffelt Krankheiten
  2. Dota 2 128.000 CPU-Kerne schlagen fünf menschliche Helden
  3. KI-Bundesverband Deutschland soll mehr für KI-Forschung tun

    •  /