Einladung für Spammer

Bug bei Facebook nützt Datensammlern

Eine offenbar schon geschlossene Lücke im Anmeldesystem von Facebook machte das soziale Netzwerk zur Verifizierungsstelle für Mailadressen. Zudem ließen sich durch einen einfachen Trick die Realnamen der Benutzer und ihre Profilbilder einsammeln.

Artikel veröffentlicht am ,
Einladung für Spammer: Bug bei Facebook nützt Datensammlern

In der Security-Mailingliste Full Disclosure wies Atul Agarwal von Secfence Technologies auf ein merkwürdiges Verhalten von Facebook hin, das er selbst nicht klar als Bug oder Feature einordnen konnte. Der Sicherheitsforscher hatte versucht, sich mit einem falschen Passwort, aber seiner richtigen Mailadresse anzumelden. Daraufhin präsentierte ihm Facebook seinen echten Namen, zusammen mit dem Profilbild.

Das lag nicht am Browsercache oder an Cookies, wie weitere Experimente zeigten - im Gegenteil: Die Daten von Facebook-Usern wurden immer ausgegeben, wenn denn eine dort genutzte Mailadresse eingegeben wurde. Der Redakteur Sam Diaz von ZDnet USA konnte diesen Effekt ebenfalls beobachten. Er fand auch heraus, dass es genügt, eine Mailadresse einzugeben, die irgendwo auf den Facebook-Seiten eines Mitgliedes vorkommt. Die Adresse, die zur Registrierung genutzt wurde, muss gar nicht bekannt sein.

Der Entdecker des Phänomens, Atul Agarwal, stellt in seinem Beitrag fest, dass sich die Funktion über Skripte zum Datensammeln auf mehreren Wegen missbrauchen lässt. So können Spammer Mailadressen mit Namen und Bildern verknüpfen, was wiederum Phising-Versuche durch direkte Ansprache glaubhafter erscheinen lässt.

Zudem können Spammer auch erfundene Mailadressen ausprobieren, beispielsweise aus einer Kombination von Namenskürzeln und Firmennamen. Bei 500 Millionen Nutzern wäre Facebook so das größte Nachschlagewerk für existierende Mailadressen. In der Spamszene werden außerdem Datensätze, die mit einem Realnamen verbunden sind, viel teurer gehandelt als die Mailadresse alleine. Ein Bild der Person erhöht den Wert weiter.

Gegenüber PC Advisor gab ein Sprecher von Facebook an, dieses Verhalten der Webseite sei erst kürzlich durch einen Bug in einer neuen Softwareversion aufgetreten. Normalerweise sollte Facebook falsche Logins nicht durch Preisgabe des zugehörigen Namens und Profilbildes beantworten. Das erklärt auch, warum dieser Effekt bisher nicht aufgefallen war.

Der Sprecher sagte weiter, Facebook würde schon an einer Reparatur arbeiten. Das ist in der Nacht zum 12. August 2010 deutscher Zeit offenbar auch schon umgesetzt worden: Golem.de konnte das Verhalten der Loginseiten mit bekannten E-Mail-Adressen, über die Facebook-Accounts erstellt worden waren, nicht mehr nachstellen. Gleiches war bei Adressen, die auf den Seiten eines Mitgliedes in Kommentaren vorkamen, zu beobachten. Ob und in welchem Maße die Lücke bereits ausgenutzt wurde, ist noch nicht bekannt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Soziales Netzwerk
Facebook bietet erweiterte Gesichtserkennung für Fotos an
artikel-bild
Rechtsstreit
Blackberry verklagt Facebook wegen Messaging-Patenten
artikel-bild
E-Privacy-Verordnung
Verleger und Startups wollen mehr Daten verarbeiten dürfen
Meistgelesen
artikel-bild
Gefangen im Zeitstrom, verloren im All
Die zehn besten Sci-Fi-Serien der 1960er
artikel-bild
Blue Byte
Im Bann der ersten Siedler
artikel-bild
Forschung
KI findet Antibiotikum gegen multirestistentes Bakterium
Kommentarübersicht
Google Wave also
Anonymous_1308 13. Aug 2010

Auch Google Wave bietet anonymen Zugang indem nach bestehenden E-Mail Adressen geschaut...

Re: Alter Hut (hängt leider auch weiterhin)
Golum 12. Aug 2010

Vollkommen richtig. Leider Gang und Gäbe bei vielen Online Diensten mit Login-Vorgang.

Re: Its a Feature, not a Bug
ichda 12. Aug 2010

ichda gefällt das

Wusste Facebook davon?
elgooG 12. Aug 2010

Auf einer Seite wie Facebook wird doch fleißig getracked was das Zeug hält. Keiner kann...

Aktuell auf der Startseite von Golem.de
Grace Hopper Superchip
Nvidia zeigt den DGX GH200 AI-Supercomputer

Die Kombination aus Grace Hopper, Bluefield 3 und NVLink ergibt funktional eine riesige GPU mit der Rechenkapazität eines Supercomputers und 144 TByte Grafikspeicher.

Grace Hopper Superchip: Nvidia zeigt den DGX GH200 AI-Supercomputer
Artikel
  1. Reiner Haseloff: Ministerpräsident fordert Nullrunde bei Rundfunkbeitrag
    Reiner Haseloff
    Ministerpräsident fordert Nullrunde bei Rundfunkbeitrag

    Zwei Jahre soll der Rundfunkbeitrag eingefroren werden, die Zukunftskommission derweil Reformideen vorlegen, schlägt Sachsen-Anhalts Ministerpräsident vor.

  2. System Shock Remake angespielt: Die Kult-KI Shodan kämpft frisch entfesselt
    System Shock Remake angespielt
    Die Kult-KI Shodan kämpft frisch entfesselt

    System Shock gilt als wegweisendes Shooter-Rollenspiel. Jetzt ist Golem.de im Remake wieder gegen die Super-KI Shodan angetreten (Windows-PC).
    Von Peter Steinlechner

  3. Gefangen im Zeitstrom, verloren im All: Die zehn besten Sci-Fi-Serien der 1960er
    Gefangen im Zeitstrom, verloren im All
    Die zehn besten Sci-Fi-Serien der 1960er

    Sie sind die Klassiker, auf denen das ganze Genre aufbaut: die großen Science-Fiction-Serien der 1960er. Neben Star Trek gab es hier noch viel mehr.
    Von Peter Osteried

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Microsoft Xbox Wireless Controller 40,70€ • Lexar Play 1 TB 99,60€ • DAMN!-Deals mit AMD-Bundle-Aktion • MindStar: AMD Ryzen 9 5950X 429€, MSI RTX 3060 Gaming Z Trio 12G 329€, GIGABYTE RTX 3060 Eagle OC 12G 299€, be quiet! Pure Base 500DX 89€ • Logitech bis -46% [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /